港交所網站被黑事件尚未平息,一個影響更為廣泛的DedeCMS系統高危漏洞又被黑客捅了出來。公開數據顯示,使用DedeCMS系統的國內互聯網站接近40萬家,覆蓋企業、教育機構、數字傳媒等各個領域。截至發稿前,DedeCMS仍未發布官方補丁修復漏洞,為此360網站安全檢測平臺(webscan.360.cn)已緊急提供了臨時解決方案,提醒廣大網站站長盡快參考方案修復漏洞。
DedeCMS是國內第一個開源的網站內容管理系統,在CMS市場受到大批網站站長的歡迎。不過最近有技術論壇發現,該系統的全局變量初始化存在漏洞,可能導致黑客利用漏洞侵入使用DedeCMS的網站服務器,造成網站用戶數據泄露、頁面被惡意篡改等嚴重后果。
據此前360安全中心發布的《互聯網安全報告》顯示:今年以來,黑客攻擊網站服務器,竊取用戶數據造成的危害已經超過盜號木馬。很多網民即便電腦沒有中木馬,賬號和密碼也會由于網站漏洞而被黑客竊取。因此,DedeCMS漏洞不僅關系著數十萬家網站的服務器安全,對網民的切身利益也造成了間接影響。
360網站安全檢測平臺提醒廣大站長,該平臺已經第一時間支持DedeCMS最新漏洞的檢測,使用DedeCMS開發的網站站長可登錄webscan.360.cn免費檢測。一旦發現網站存在漏洞,在DedeCMS官方補丁發布之前,應盡快按照如下應急方案進行處理(以DedeCMS 5.6為例):
在DedeCMS系統的/include/common.inc.php中,找到注冊變量的代碼:
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}
將其修改為:
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) {
if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
exit('Request var not allow!');
}
${$_k} = _RunMagicQuotes($_v);
}
}
360網站安全檢測平臺簡介
360網站安全檢測平臺(webscan.360.cn)是國內首個集“漏洞檢測”、“掛馬檢測”和“篡改檢測”于一體的一站式免費服務平臺。平臺擁有近4億用戶量的360“云安全”體系,國內最全的網站漏洞檢測庫,完善的蜜罐集群檢測系統,快速智能爬蟲技術,為廣大網站提供實時、全面和快速的安全服務。
推薦閱讀
其實,Windows系統本身也有自我“瘦身”功能。在“計算機”中右擊系統盤,“屬性”中單擊“磁盤清理”按鈕,系統全會自動計算可以清理的垃圾文件及相應的空間。勾選不用的文件,單擊“清理系統文件”按鈕即可進行減肥>>>詳細閱讀
本文標題:DedeCMS高危漏洞威脅40萬家網站 360率先提供專業檢測服務
地址:http://www.sdlzkt.com/a/guandian/yejie/20111230/177881.html
網友點評
精彩導讀
科技快報
品牌展示