▲圖:開(kāi)發(fā)者在編寫(xiě)代碼時(shí)�,對(duì)傳入?yún)?shù)未做任何處理造成漏洞
360網(wǎng)站安全檢測(cè)平臺(tái)分析認(rèn)為�,造成該高危漏洞的原因在于,地址獲取代碼對(duì)傳入的參數(shù)未做任何處理��,“一旦攻擊者構(gòu)造一個(gè)偽裝的字符串��,就可以讀取站點(diǎn)根目錄下的index.php文件內(nèi)容�����,進(jìn)而讀取服務(wù)器任意文件�����,包括存儲(chǔ)密碼的核心文件��,甚至盜取服務(wù)器源代碼�����。”
目前��,PHPCMS V9官方已于7月16日推出升級(jí)補(bǔ)丁,但由于所以上漏洞細(xì)節(jié)已經(jīng)向公眾公開(kāi)��,大量未打補(bǔ)丁的網(wǎng)站仍存在源代碼泄露的威脅�。對(duì)此,360網(wǎng)站安全檢測(cè)平臺(tái)在第一時(shí)間向旗下用戶(hù)發(fā)送了告警郵件��,建議網(wǎng)站管理員及站長(zhǎng)及時(shí)升級(jí)PHPCMS V9至官方最新版本�����,并定期使用360安全檢測(cè)服務(wù)�,掌握網(wǎng)站安全情況并及時(shí)修補(bǔ)漏洞。
PHPCMS V9升級(jí)補(bǔ)丁地址:http://bbs.phpcms.cn/thread-621649-1-1.html
360網(wǎng)站安全服務(wù)
360為站長(zhǎng)提供免費(fèi)的網(wǎng)站安全解決方案�,包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士。其中�����,360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)�����、網(wǎng)站掛馬監(jiān)控�、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái)���,擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng)��,能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞;360網(wǎng)站衛(wèi)士則為站長(zhǎng)免費(fèi)提供網(wǎng)站防火墻���、DDOS保護(hù)����、 CC保護(hù) ��、智能DNS解析�����、盜鏈保護(hù)����、頁(yè)面壓縮、緩存加速和永久在線(xiàn)等服務(wù)����。
