网站建设
当前位置:主页 > 建站资讯 > 网站建设 >
如何修复PHP网站中的漏洞如何修复网站程序代码中的漏洞
发布日期:2021-04-16 阅读次数: 字体大小:

Phpdisk当前是Internet上最大的开源网络磁盘系统。 它使用PHP语言开发和mysql数据库体系结构。 在检查其网站安全性和网站漏洞时,我们发现网络磁盘系统具有严重的sql注入攻击漏洞,这是有害的。 高性能,您可以直接获取该网站的管理员帐户密码,使用默认的后台地址登录,还可以直接获取该Webshel
l权限。
当前,phpdisk的最新版本是www.jianzhanlong.com版。 该网站系统可用于公司办公室,内部文件共享和文档存储。 它比传统的FTP软件更加直观。 操作简单,方便,快捷。 用户上传文件的格式可以是后端的。设置和人性化满足了许多企业和个人用户的青睐。 使用它的人越多,该网站的漏洞就会越多,并且容易受到攻击者的攻击。 关于本网站的sql注入攻击漏洞的详细信息,我们SINE Security将向您详细解释:
SQL注入漏洞
phpdisk的详细信息有多个版本,例如gbk版本和utf8版本。 代码转换的功能,在转换代码时,将或多或少存在漏洞。sql注入漏洞的原因在这里。 在对代码进行安全审核之后,我们发现代码转换调用了conver_str函数。 大多数网站调用此参数进行编码转换,并且在转换过程中执行了多个转义操作。 我们跟踪了代码,发现iconv具有SQL宽字节注入漏洞。 代码屏幕截图如下:

如何修复PHP网站中的漏洞如何修复网站程序代码中的漏洞


另一个SQL注入漏洞位于代码文件中,即根目录中的www.jianzhanlong.com文件。 让我们看一下代码:

如何修复PHP网站中的漏洞如何修复网站程序代码中的漏洞


该代码本身使用了全局变量的sql过滤系统,并对某些sql注入语句执行了安全过滤和拦截。 常规的sql注入攻击不会成功,但是在我们进行安全检测和绕过之后,您可以直接导入SQL将注入语句植入网站中,并从后端执行数据库的查询操作,并执行SQL攻击 在它上面使用加密。

如何修复PHP网站中的漏洞如何修复网站程序代码中的漏洞


通过网站的sql注入漏洞,我们可以直接获取网络磁盘的管理员帐户密码。 我们得到的是md5值。 对于md5值,我们将其解密并使用默认值登录到的后台地址,然后通过上传文件,将webshel
l进一步上传到网站以获得更高的管理员权限。

如何修复PHP网站中的漏洞如何修复网站程序代码中的漏洞


如何防止SQL注入攻击? 修复网站漏洞
对从网站前端输入的值(尤其是此处的编码转换)执行安全性判断,确认变量值是否存在,如果存在,将不会被覆盖,并防止变量 重写导致在GET请求和POST请求中合并恶意构造的SQL注入语句代码。在GET请求和POST请求中,对非法字符的输入进行了过滤。'分号过滤器-过滤%20特殊字符过滤器,单引号过滤器,%%符号以及过滤器,Tab键值和其他安全过滤器。 执行加密参数的强制转换并拦截特殊语句。phpdisk网站系统已停止更新。 如果您不太了解代码,建议您找一家专业的网站安全公司来解决通过sql进行网站注入攻击的问题,然后让该安全公司帮助修复网站漏洞,例如Sinesafe,NSFOCUS安全服务提供商 专门从事网站安全保护的人会有所帮助。 还有一点是,如果您真的不知道如何解决该漏洞,则可以直接更改网站的背景地址。 更改更为复杂。 即使攻击者破解了管理员帐户密码,他也无法登录到后台。

标签: