▲圖:開發(fā)者在編寫代碼時,對傳入?yún)?shù)未做任何處理造成漏洞
360網(wǎng)站安全檢測平臺分析認(rèn)為����,造成該高危漏洞的原因在于,地址獲取代碼對傳入的參數(shù)未做任何處理��,“一旦攻擊者構(gòu)造一個偽裝的字符串��,就可以讀取站點根目錄下的index.php文件內(nèi)容�����,進而讀取服務(wù)器任意文件��,包括存儲密碼的核心文件,甚至盜取服務(wù)器源代碼��。”
目前�,PHPCMS V9官方已于7月16日推出升級補丁����,但由于所以上漏洞細節(jié)已經(jīng)向公眾公開,大量未打補丁的網(wǎng)站仍存在源代碼泄露的威脅����。對此,360網(wǎng)站安全檢測平臺在第一時間向旗下用戶發(fā)送了告警郵件����,建議網(wǎng)站管理員及站長及時升級PHPCMS V9至官方最新版本,并定期使用360安全檢測服務(wù)��,掌握網(wǎng)站安全情況并及時修補漏洞����。
PHPCMS V9升級補丁地址:http://bbs.phpcms.cn/thread-621649-1-1.html
360網(wǎng)站安全服務(wù)
360為站長提供免費的網(wǎng)站安全解決方案,包括360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士�����。其中,360網(wǎng)站安全檢測平臺是國內(nèi)首個集網(wǎng)站漏洞檢測��、網(wǎng)站掛馬監(jiān)控���、網(wǎng)站篡改監(jiān)控于一體的免費檢測平臺���,擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng),能夠第一時間協(xié)助網(wǎng)站檢測修復(fù)漏洞;360網(wǎng)站衛(wèi)士則為站長免費提供網(wǎng)站防火墻��、DDOS保護�����、 CC保護 �����、智能DNS解析����、盜鏈保護、頁面壓縮���、緩存加速和永久在線等服務(wù)����。
