Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

connect.php文件被安全联盟报由严重漏洞

[复制链接]
瞬间的光辉 发表于 2015-6-4 16:34:46 | 显示全部楼层 |阅读模式
网站www.zhinengjiaoyi.com DZ3.2最新版论坛系统被安全联盟http://zhanzhang.anquan.org 报出重大安全漏洞:
具体漏洞文件是:connect.php

漏洞列表
http://www.zhinengjiaoyi.com/connect.php

请求GET
参数mod
测试数据 http://www.zhinengjiaoyi.com/connect.php?extra=page%3D1;statfrom=login_simple;referer=forum.php?mod=viewthread;tid=16886;mod=login'/vXEf';page=1;op=init;
[url=]漏洞修复建议[/url]

·                                安全联盟推荐使用全国最优秀的免费云端网站安全产品加速乐对网站进行保护。无需更改任何现有部署,只需5分钟即可有效抵御大部分网站攻击。马上防护
·                                解决SQL注入漏洞的关键是对所有来自用户输入的数据进行严格检查、对数据库配置使用最小权限原则;
·                                所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中;
·                                对进入数据库的特殊字符('"\<>&*;等)进行转义处理,或编码转换;
·                                确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型;
·                                数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句执行;
·                                网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过;
·                                严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害;
·                                避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断;
·                                在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞;
·                                部署Web应用防火墙;
·                                找安全联盟修复专家,享受安全联盟知名网站安全专家的一对一修复服务。


DZ动力1013 发表于 2015-6-8 01:53:38 | 显示全部楼层
这个有时候跟环境有关系,你使用云服务器再测一下
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-25 12:34 , Processed in 0.027100 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表