DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

　　近日，知名第三方漏洞报告平台乌云曝光建站工具DedeCMS系统反馈页面存在SQL注入高危漏洞（http://www.wooyun.org/bugs/wooyun-2012-014076），攻击者可以轻易获取网站管理员密码，网站数据面临“拖库”威胁。经360网站安全检测（WebScan）对注册用户的分析研究发现，86%使用DedeCMS的网站存在该漏洞，危害范围十分广泛。
　　据了解，DedeCMS（织梦内容管理系统）是国内知名的PHP类CMS系统，在站长圈内应用广泛，用户涉及企业、政府机关、教育、媒体、软件及互联网等多个行业，Admin5站长网、青年文摘、盐城国土资源部门网站都是用DedeCMS搭建。
　　据360网站安全检测分析，造成DedeCMS漏洞的原因在于其plus\feedback.php中的变量$typeid，由于未对参数进行初始化检测，从而导致SQL注入漏洞的产生。

　　图1：feedback.php中过滤不严导致漏洞
　　360安全专家表示，攻击者通过提交回复，无需审核即可发表回复，并执行恶意语句，窃取管理员的账号和密码，后只需进行MD5解密便可得到明文密码。经验证，有些网站虽然没有启用会员模块，但依旧存在feedback页面，这导致在允许游客评论的状态下，SQL漏洞就可以被利用；而即便禁止游客评论，也可能面临安全风险。

　　图2：实施SQL注入攻击后，可获得管理员账号密码
　　目前，DedeCMSV5.7以下版本都受该漏洞影响，DedeCMS官方已提供下载补丁进行修复（http://bbs.dedecms.com/551651.html），但补丁推出一段时间来，360网站安全检测发现仍有大量网站并未重视。对此，360网站安全检测平台已向旗下用户发送警告邮件，建议广大站长及管理员尽快下载官方补丁进行修复，并使用360网站安全检测和360网站卫士，保护网站安全。
　　360网站安全检测服务网址：http://webscan.360.cn

DZ这方面做的很严。所有变量处理都强制初始化的，而且所有嵌套查询都是禁止的。

和DZ没什么关系啊

sw08 发表于 2012-11-23 19:09
DZ这方面做的很严。所有变量处理都强制初始化的，而且所有嵌套查询都是禁止的。

DZ7是用extract展开变量，存在一定的漏洞。而DZX系列用$_G当全局变量包含所有用户变量并且先初始化，就安全多了

sw08 发表于 2012-11-23 19:09
DZ这方面做的很严。所有变量处理都强制初始化的，而且所有嵌套查询都是禁止的。

DEDECMS经常爆漏洞呀。

wangncet 发表于 2013-1-6 19:23
DEDECMS经常爆漏洞呀。

dede的代码比较糟糕，看得头大～

大家好我来报到了