phpcms文件读取漏洞讲解以及处理方法
谈起漏洞高速度
主机小编就想到了dedecms的漏洞,在php空间里面运行一段时间之后,突然之前被各种挂黑链,被各种写入文件,瞬间磁盘爆满。只要是源码程序高危的漏洞都是存在的,技术这个领域怎么说呢,您觉得您比较厉害,那么比您更厉害的人大有人在,但是这些NB的人物不可能一天做这些事情,所以不管怎么样我们还是要了解一下程序的高危漏洞问题,今天高速度
主机小编在黑客论坛里面去逛的时候,突然看见了一个phpcms的高危漏洞的说明。仔细看了一篇呢,通过高速度
主机小编的理解从新编译一下这篇文章,让站长朋友们更加的能读懂。Phpcms存在的高危漏洞就是一旦进去就可以对您的任意文件的读取,包括数据库文件,那么这个是最致命的,只要拿到这个文件之后那么就可以对其您的数据库进行操作了,因为他已经拿到了数据库的用户名与密码。高速度
主机小编总结了一下可能要发生的问题:1、数据库泄漏2、网页被挂黑链或者是被篡改3、文件的传入。等等高危的问题。那么出现这个问题高速度
主机经过认真的解读的话,主要是这个文件里面的代码导致的:phpcmsmodulessearchindex.php,这个是文件读取的漏洞,代码如下:
public function public_get_suggest_keyword() {$url = $_GET['url'].'&q='.$_GET['q'];$res = @file_get_contents($url);if(CHARSET != 'gbk') {$res = iconv('gbk', CHARSET, $res);}echo $res;}
根据这段代码的解析,可以利用里面的值获取权限从而得到文件的信息。所以说为了这个的方法,phpcms官方也做出了相应的改善,就得到了我们最新版本的phpcms版本。那么下面高速度
主机小编就谈谈解决方法:1、到官方站点去下载phpcms最新的升级包,或者把重要的数据备份,然后下载最新版本进行安装,然后从新搭建出来,这个动作是非常快的熟悉的站长朋友一个小时完全可以搞定。2、如果您不会操作这些,那么就用代码的方式进行解决,就是找到以上的那个代码,然后进行替换掉;代码如下:
public function public_get_suggest_keyword() {$url = $_GET['url'].'&q='.$_GET['q'];$trust_url = array('c8430fcf851e85818b546addf5bc4dd3');$urm_md5 = md5($url);if (!in_array($urm_md5, $trust_url)) exit;$res = @file_get_contents($url);if(CHARSET != 'gbk') {$res = iconv('gbk', CHARSET, $res);}echo $res;}
3、如果您的vps主机,或者是能修改数据库配置的那么就禁止外链数据库操作这个也是临时的解决方法,高速度
主机小编还是建议进行升级处理。高速度
主机小编希望解决方法能帮助到站长朋友们!高速度
主机相关文章推荐阅读:
CKPLAYER与PHPCMS整合教程PHPCMS V9教程:网站迁移需要修改的几个地方小编教您快速解决PHPCMS V9缩略图上传失败方法本文地址:https://www.gaosudu.com/phpcms/19729.html