直播平台源码第一源码网是什么赛车PK10

  • 时间:
  • 浏览:2
  • 来源:pk333彩票

  11月4日,阿里云安全首次捕获PHPCMS 2008版本的/type.php远程GetShell 0day利用攻击,攻击者可以利用该漏洞远程植入webshell,导致文件篡改、数据泄漏、服务器被远程控制等一系列严重问题。建议受影响用户尽快升级到最新版本修复。

  PHPCMS网站内容管理系统是国内主流CMS系统之一,同时也是一个开源的PHP开发框架。

  PHPCMS最早于2008年推出,最新版已出到v9.6.3,但由于稳定、灵活、开源的特性,时至今日,PHPCMS2008版本仍被许多网站所使用。

  该漏洞源于PHPCMS2008源码中的/type.php文件。该文件包含如下代码:

  这里$template变量是用户能够通过传入参数控制的,同时可以看到该变量之后会被传入template()方法。而template()方法在/include/global.func.php文件中定义,包含如下代码:

  而前文所述的攻击payload将$template变量被设置为如下的值:

  虽然距离PHPCMS2008版本的推出已经10年,但仍有不少网站正在使用PHPCMS2008,包括政府、企业的网站;根据Fofa网络空间安全搜索引擎的全网精确搜索结果显示,还有近200个使用PHPCMS2008版本的网站;而如果使用模糊匹配对网站进行识别,匹配结果更达上万个。

  通过利用该漏洞,攻击者在向路径可控的文件写入恶意脚本代码后,后续将能够向该文件发送webshell指令,在服务器上执行任意代码,因此该代码注入漏洞的影响较大。

  临时解决可以在/type.php文件中对$template变量进行过滤,避免用户输入的含有”(“、赛车PK10”{“等符号的内容混入,并被当做路径和脚本内容处理。

  但由于PHPCMS2008版本过旧,用户应尽量升级到最新版本的PHPCMS,才能够更好地保障安全。

猜你喜欢

赛车网投源码源码中国下载是什么

琉璃神社是一款动漫类资讯软件,来看看琉璃神社神秘代码怎么用?使用方式介绍?很多小伙伴经常在网络上看到一些琉璃神社的神秘代码,但不知道怎么用,下面小编为大家带来琉璃神社神秘代码使

2018-12-15

赛车PK10源码是什么小程序源码下载

杭州优质新零售源码价钱服务,系统经过应用推广,该客户实现了50%的日常优化自动执行,推广了专家经验,规范了优化方法和手段,大幅提升了优化工作的效率。终,网络故障发现及时率从35

2018-12-15

彩票学习海军海军招兵条件严格吗华为2018征兵

中国军人从战争中走来,历尽千辛万苦,经历两百多年的战乱,这些艰苦的历史中国人都铭记在心中,无数次战争之后,磨炼出一只王牌之师,我们的军人就像祖国的喜马拉雅山一样坚不可摧,没有任

2018-12-15

十分钟教你学会游泳零基础自学游泳教程香烟广西快三

蛙泳与其它游泳姿势的不同之处在于手臂和腿部的动作不是同时进行的。在蛙泳游进的时候,腿部比手臂发挥更大的作用,因此,掌握蛙泳不同的动作是非常重要的。首先是手臂动作:手臂向前伸直,

2018-12-15

乐发彩票零基础自学游泳十分钟教你学会游泳教程

初学游泳者很少能正确地水中呼气。而几乎所有的中级水平泳者都认为他们做的是正确的呼气,当我们问他们的时候,至少他们是这样说的。他们果真做到了吗?答案是:非常少!甚至在一些高级游泳

2018-12-15