网站首页 > PHP职场> 文章内容

ThinkPHP框架爆致命漏洞网站打补丁

※发布时间:2017-10-24 22:52:07   ※发布作者:habao   ※出自何处: 

  文库首页开发ThinkPHP框架爆致命漏洞,网站打补丁

  ThinkPHP框架爆致命漏洞,网站打补丁 4月13日消息,日前漏洞报告平台爆料称,ThinkPHP框架存在“URI取值任意代码执行”漏洞(详情),黑客可借此在网站上执行任意PHP代码,甚至获取服务器管理员权限,同在此服务器上的其他网站也可能受到。对此,360网站安全检测平台第一时间加入检测规则,并向存在该漏洞的网站发送了报警邮件及修复。360网站安全检测平台服务网址ThinkPHP是一款拥有6年历史的优秀开源PHP框架,自2006年诞生以来,应用者逐渐遍及电子商务、教育培训、金融、等多个领域,包括大型门户网站游戏论坛、著名服装品牌网上商城等,都使用该PHP框架搭建。尽管此前ThinkPHP已发布修复URI漏洞的补丁,却未引起网站管理者的普遍重视,至今仍有大批网站因此存在被黑风险。图1:者只需提交特殊的URL即可在网站上执行任意php代码360网站安全检测平台分析认为,该漏洞源自ThinkPHP框架整理URI变量的流程:源码此处补丁的是一个perg_replace函数,此函数用于执行正则表达式的搜索和替换,因为第一个参数如果使用了“e”修饰符,那么第二个参数将会被当做PHP代码执行。图2:补丁将双引号改为单引号其中,代码中$paths为URI处理到最后变量取值部分,通过“/”切割后进行正则替换,其中1为变量名,2为匹配到的变量值,而这个地方用到了双引号来解析PHP变量进行动态赋值,导致黑客可以利用一些技巧通过控制变量值的方式直接执行任意PHP代码(如图3、图4所示),所以补丁将这对双引号改为单引号(如图2所示)图3:者甚至可以利用php执行系统命令鉴于该漏洞覆盖用户群体的广泛性及危害的严重性,360网站安全检测第一时间加入了检测规则,并根据不同“URL_MODEL”设置情况下的各种传参模式都进行了细致的规则定制,可以准确有效地发现使用ThinkPHP站点的安全漏洞。目前,360网站安全检测平台已向存在漏洞的网站发送了报警邮件,同时所有未升级的ThinkPHP用户立即下载安装补丁点击访问,或直接升级ThinkPHP最新版本,以规避。 P 1 / 2ThinkPHP框架爆致命漏洞,网站打补丁 Powered by TCPDF (

  推荐:

  

相关阅读
重庆学习网zslpsh,0755深圳房产人才招聘网,拾年网90后,anedc股票,最新电影下载淘娱淘乐,重庆中学生网高考,重庆中学生网高考,学习重庆方言网,重庆中学生学习方法,重庆俗语网,中学生网zslpsh,0755深圳交友网,重庆初中生,贵州重庆方言网,025新闻网,西南重庆方言歌曲,025南京交友网,重庆农家乐美女,观赏蟹种类zadull,云南重庆方言网,重庆中学学习网,028成都交友网,推广taoyutaol,西南四川方言网,观赏龟论坛zadull,四川重庆方言网,022天津交友网,重庆中学生网家长,鹦鹉鱼zadull,重庆俗语,电影淘娱淘乐,taoyutaole娱乐,华夏视讯网,0755深圳旅游招聘,昆明重庆方言网,淘娱淘乐影视,www.00game.net,观赏鱼zadul,重庆高考zslpsh,重庆中学生网高考,027房产招聘网,坝坝舞wagcw,西南重庆方言网,贵州重庆方言网,重庆言子儿网,热带鱼zadull,重庆高考zslpsh,0755深圳旅游招聘网,淘娱淘乐影视网,0571.361.cm,重庆方言学习网,028成都新闻,异形观赏鱼种类,影视网淘娱淘乐,最新电影下载淘娱淘乐,0773桂林论坛,拾年网80后动画片,观赏蟹论坛zadull,观赏龟繁殖教程,重庆一中zslpsh,重庆俗语网,广场舞wagcw,观赏虾的种类zadull,观赏鱼观赏虾观赏龟,西南方言网,观赏鱼之家论坛zadull,战争前线辅助00game,西南重庆方言小说,重庆中小学zslpsh,推广taoyutaol,战争前线论坛00game,0871交友网,025南京新闻网,重庆言子儿网站,娱乐taoyutaole,022天津交友网,025新闻网,重庆中学生网学习,022天津交友网,重庆方言歌网,www.120.cm健康网,anedc股票,重庆初中生