<dl id="fjrfj"></dl>
<i id="fjrfj"></i>
<span id="fjrfj"></span>
<th id="fjrfj"></th><th id="fjrfj"></th>
<video id="fjrfj"><strike id="fjrfj"><ruby id="fjrfj"></ruby></strike></video>
<video id="fjrfj"></video>

    中山網站安全檢測公司 歡迎來電垂詢

  • 2019-12-17 18:25 4588
  • 產品價格:面議
  • 發貨地址:山東青島包裝說明:不限
  • 產品數量:9999.00 個產品規格:不限
  • 信息編號:134144202公司編號:2286951
  • 高峰先生 副總經理 認證郵箱認證認證 認證 13912999345
  • 進入店鋪 在線咨詢 QQ咨詢
    相關產品:
    中山網站安全檢測公司 歡迎來電垂詢
    近我們SINE安全在對帝國CMS系統進行代碼安全審計的時候,發現該系統存在漏洞,受影響的版本是EmpireCMS V7.5,從帝國下載到本地,我們人工對其代碼進行詳細的漏洞檢測與安全代碼分析。共計發現三個高危漏洞,都是在的后臺管理頁面上的功能發現的。該漏洞的產生,根源的問題是沒有對get,post提交方式進行嚴格的安全效驗與過濾,導致可以插入惡意代碼到后端服務器中去處理,導致漏洞的發生。帝國CMS系統,簡單給大家介紹一下,目前很多站長,以及企業建站,都在使用該套系統,快速,便捷,易于搜索引擎收錄,采用的是B/S架構開發,php語言+Mysql數據庫,支持大并發同時訪問,可以承載較多的用戶快速的訪問的各個頁面與內容,模板自定義化,可以設置標簽與自行設計外觀,靜態html生成,還有采集功能,深受廣大站長和運營者的喜歡。我們SINE安全技術在對該代碼進行安全檢測與滲透測試的手,會先大體看下代碼,熟悉整個的架構,數據庫配置文件,以及入口調用到的文件,通常調用到的安全規則是如何寫的,多個方面去大體的了解該代碼,目前滲透測試中,發現的漏洞有:SQL注入漏洞,敏感信息泄露,初始化安裝功能漏洞,直行平行越權邏輯漏洞,任意文件上傳漏洞,登錄繞過漏洞,短信驗證碼漏洞,找回密碼漏洞,數據庫備份webshell,XSS跨站,CSRF漏洞等待。
    首先我們檢測到的是帝國安裝代碼功能上存在可以插入惡意代碼漏洞,在install安裝目錄下的index.php文件中,可以查到表的前綴,也就是獲取前端提交過來的參數,然后繼續往下看,data目錄下的fun.php代碼里的參數并沒有做任何的安全效驗,導致可以直接插入惡意代碼寫入到配置文件config.php中去。漏洞詳情如下圖:
    后臺還存在get webshell漏洞,打開后臺管理功能頁面,選擇管理首頁模板,緊接著右鍵點擊增加首頁方案中,復制漏洞exp代碼: 解密base64后是:ZWNobyAnPD9waHAgZXZhbCgkX1JFUVVFU1RbaHBdKTsnPnNoZWxsLnBocA=>echo 'shell.php寫到模板內容頁面里,左鍵點擊提交,再點擊啟用此方案,就在會e/admin/template/文件夾下生成一個shell.php文件。
    關于帝國CMS漏洞的修復辦法,對所有的get,post請求做安全過濾,也可以直接在eaddslashes2的參數里增加惡意代碼的攔截機制,先檢測后放行,該漏洞的利用條件是需要有后臺管理員權限,利用的不是太多,建議對后臺的管理目錄進行更改,或者直接將管理員的密碼設置的復雜一些。如果您對漏洞修復不是太懂的話,也可以找專業的安全公司來處理,國內SINE安全,啟明星辰,綠盟,都是比較不錯的,漏洞經常出現,也請的運營者多多關注EmpireCMS的,一有補丁就立即修復掉,將安全損失降到低。
    中山網站安全檢測公司
    需求和架構階段:基于業務場景的威脅建模 (STAC),以威脅建模賦能方式教會需求分析和架構審計人員對項目內場景潛在場景風險進行識別和剝離,通過威脅建模針對性提出安全方案,用于后續研發等環節的解決或規避。
    中山網站安全檢測公司
    由于攻擊也在進化,所以要定期檢查滲透測試。要保持OpenVAS和Metasploit等工具的更新,而且它們可以使用的攻擊庫也在穩步增長。
    中山網站安全檢測公司
    -/gbadeeb/-


    歡迎來到南京鼎榮科貿公司網站,我公司位于文化底蘊厚重、歷史遺存豐富的南京市。 具體地址是江蘇南京濱江廣場,聯系人是高峰。
    主要經營公司主營產品。

    本頁鏈接:http://www.8586y.com/wvs134144202.html
    以上信息由企業自行發布,該企業負責信息內容的完整性、真實性、準確性和合法性。阿德采購網對此不承擔任何責任。 馬上查看收錄情況: 百度 360搜索 搜狗
彩45彩票下载