天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

齐博CMS曝SQL注入漏洞 360提醒用户尽快打补丁

2013-1-10ZDNet安全频道佚名

  近日,360网站安全检测平台独家发现齐博CMS V7(原PHP168 v系列)建站系统存在SQL注入漏洞(0day),黑客可利用此漏洞入侵网站服务器,窃取网站数据甚至完全控制服务器。对此,360已于第一时间将漏洞信息通报厂商,并群发告警邮件提醒旗下用户尽快下载最新补丁,360网站卫士也同时更新了防护规则。

  齐博CMS建站系统是使用PHP语言开发的建站系统,因开源和可二次开放等特点为许多站长青睐。目前,齐博建站系统分为整站系统、B2B电子商务系统以及分类信息系统等多个版本。360此次发现的SQL注入漏洞存在于最新的齐博CMS V7整站系统中,所有使用此版本系统的网站都面临可能致命的安全风险。

  据360安全工程师分析,此次出现的SQL注入漏洞存在于/do/s_rpc.php文件中的$queryString变量中。黑客可利$queryString变量直接通过外部post传入,并用Chinese类进行GB2312转换带入SQL语句,最终导致可绕过magic_quotes_gpc =On的限制闭合单引号,产生SQL注入漏洞。

齐博CMS曝SQL注入漏洞 360提醒用户尽快打补丁

  图1:黑客可通过$queryString变量实施SQL注入

  经过对齐博CMS V7官方DEMO站点进行测试发现,攻击者可通过构造SQL语句查询网站的MySQL数据库版本,进行有针对性的攻击,最终“拖库”窃取网站数据,或植入后门控制服务器。

齐博CMS曝SQL注入漏洞 360提醒用户尽快打补丁

  图2:CMS V7官方的DEMO站点测试结果

齐博CMS曝SQL注入漏洞 360提醒用户尽快打补丁

  图3:构造SQL语句查询网站的MySQL数据库版本

  由于该漏洞影响广泛,360网站安全工程师强烈建议用户立即打补丁,或按照360提供的解决方案手动修复这一高危漏洞,防止SQL注入攻击。同时推荐用户使用360网站卫士,保护网站免遭各类网络攻击。

本文来源:ZDNet安全频道 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行