SCANV团队:警惕邮编区号查询工具的高危漏洞
近期在国内著名的第三方漏洞报告平台乌云网上,有研究者报告了一个国内知名技术媒体网站51CTO的一个安全漏洞
(http://www.wooyun.org/bugs/wooyun-2013-040647 )如下图:
而导致这个漏洞的元凶就是一款用php编写开源的站长小工具:“邮编区号查询”。通过搜索发现这款php开源小工具在互联网上有广泛的应用(还有大量的2次开发的“变种”版本),主要集中在一些站长工具网站上。而悲剧的是:这款小小开源工具在实现的时候并没有考虑到安全问题。由于开发者滥用代码执行函数eval(),导致产生了一个严重的任意原创代码执行漏洞。攻击者可通过该漏洞直接在网站上执行任意代码,完全控制网站系统。使网站沦为“肉鸡”,导致被“挂马”、“脱库”等恶意攻击。现通过国内著名免费CDN加速、云安全厂商百度加速乐(http://jiasule.baidu.com/ )证实,目前百度加速乐已拦截到该漏洞被黑客利用攻击网站的行为,并也有人发起批量扫描攻击。 由于该程序实在太小可能根本就不存在“官方”,所以我们独家推出了检查方法及解决方案(详见下),强烈建议有使用php编写的“邮编区号查询”工具的网站启用,保障网站安全。同时我们提醒广大站长朋友在使用各种开源小工具时候,一定要慎重,小心“小工具,大漏洞”。
检查方法:
1、服务器上代码检查方法
找到并打开“邮编区号查询”的相关php文件代码(常用文件名为yb.php)如果存在如下代码:
则说明您网站使用的“邮编区号查询”工具存在该漏洞。
2、安全联盟站长平台(http://zhanzhang.anquan.org/)现已经支持该漏洞扫描,站长可以直接扫描确认。
解决方案:
方案一、服务器上代码修补方案
将上面“检查方法1”里提到代码替换为如下代码:
另外该文件还可能存在一个跨站脚本攻击漏洞,这里一并给出相关代码修补方案:
找到代码:
$q = trim($_GET['q']); //关键词
替换为:
$q = trim(htmlspecialchars($_GET['q'])); //关键词
方案二、网站启用百度加速乐(http://jiasule.baidu.com/ ) 提供专业、免费的安全漏洞防御同时进行网站加速等服务。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 不断谱写中国式现代化重庆篇章 4994178
- 2 杀妻案凶手问法官:死刑立即执行吗 4970258
- 3 “最美公务员”疑打残疾人 警方介入 4808647
- 4 跨越山海展新途 4723988
- 5 妻子和异性朋友登山时失联 已找到 4618852
- 6 奶凶奶凶的交警姐姐找到了 4512854
- 7 贾跃亭:我是中国汽车进美国桥梁 4408673
- 8 香港一银行人民币存款利率18.1% 4346521
- 9 赵雅芝工作室辟谣去世传闻 4223211
- 10 “特种兵椰汁”商标认定无效 4166122