软件下载 | 资讯教程 | 最近更新 | 下载排行 | 一键转帖 | 发布投稿
您的位置:最火下载站 > 资讯阅读 > 安全资讯 > DedeCMS漏洞威胁40万网站 360率先提供检测

DedeCMS漏洞威胁40万网站 360率先提供检测

港交所网站被黑事件尚未平息,一个影响更为广泛的DedeCMS系统高危漏洞又被黑客捅了出来。公开数据显示,使用DedeCMS系统的国内互联网站接近40万家,覆盖企业、教育机构、数字传媒等各个领域。截至发稿前,DedeCMS仍未发布官方补丁修复漏洞,为此360网站安全检测平台(webscan.360.cn)已紧急提供了临时解决方案,提醒广大网站站长尽快参考方案修复漏洞。

DedeCMS是国内第一个开源的网站内容管理系统,在CMS市场受到大批网站站长的欢迎。不过最近有技术论坛发现,该系统的全局变量初始化存在漏洞,可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器,造成网站用户数据泄露、页面被恶意篡改等严重后果。

据此前360安全中心发布的《互联网安全报告》显示:今年以来,黑客攻击网站服务器,窃取用户数据造成的危害已经超过盗号木马。很多网民即便电脑没有中木马,账号和密码也会由于网站漏洞而被黑客窃取。因此,DedeCMS漏洞不仅关系着数十万家网站的服务器安全,对网民的切身利益也造成了间接影响。

360网站安全检测平台提醒广大站长,该平台已经第一时间支持DedeCMS最新漏洞的检测,使用DedeCMS开发的网站站长可登录webscan.360.cn免费检测。一旦发现网站存在漏洞,在DedeCMS官方补丁发布之前,应尽快按照如下应急方案进行处理(以DedeCMS 5.6为例):

在DedeCMS系统的/include/common.inc.php中,找到注册变量的代码:

Copy to ClipboardLiehuo.Net Codes引用的内容:[www.veryhuo.com]
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

将其修改为:

Copy to ClipboardLiehuo.Net Codes引用的内容:[www.veryhuo.com]
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) {
if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
exit('Request var not allow!');
}
${$_k} = _RunMagicQuotes($_v);
}
}

360网站安全检测平台简介

360网站安全检测平台(webscan.360.cn)是国内首个集“漏洞检测”、“挂马检测”和“篡改检测”于一体的一站式免费服务平台。平台拥有近4亿用户量的360“云安全”体系,国内最全的网站漏洞检测库,完善的蜜罐集群检测系统,快速智能爬虫技术,为广大网站提供实时、全面和快速的安全服务。

关于奇虎360公司

奇虎360于2005年6月成立,是一家基于互联网平台的新兴网络安全公司,2011年3月30日在美国纽约交易所成功挂牌上市(NYSE:QIHU)。公司采用了创新的“云安全”技术,成立之初就发动网民共同参与,对流氓软件和木马、插件形成了致命的打击,360也由此赢得了网民和市场。360旗下免费的360安全卫士360杀毒360安全浏览器360保险和360软件管家360手机卫士等系列产品,为网民构筑了一个互联网和手机的安全防线,全方位保护网民上网安全。

    相关阅读
    栏目导航
    推荐软件