您的位置:网站首页 > php源码 > 正文

PHP超级漏洞 360率先发布解决方案

类别:php源码 日期:2018-3-27 7:22:06 人气: 来源:

  5月4日消息,360网站安全检测平台发布橙色安全警报称,最新的PHPCGI漏洞已遭黑客,严重利用CGI模式执行PHP的网站服务器。据360检测,国内绝大多数虚拟主机提供商存在此漏洞,者只需找到任意一个PHP文件,即可利用漏洞远程执意代码,从而攻陷整台服务器。目前,国内仅360网站宝可为受漏洞影响的网站提供防御解决方案。

  PHPCGI漏洞最早由国外安全研究者于近日公开,其实际存在的时间则长达约8年之久。据360网站安全工程师介绍,该漏洞是用户将HTTP请求参数提交至Apache服务器,通过mod_cgi模块交给后端的php-cgi处理,但在执行过程中部分字符没有得到处理,比如空格、等号(=)、减号(-)等。利用这些字符,者可以向后端的php-cgi解析程序提交恶意数据,php-cgi会将这段“数据”当做php参数直接执行,目前截获到的主要利用以下PHP参数:

  360网站安全检测平台分析认为,PHPCGI漏洞危害并不仅限于远程执行代码,者还可以定义php的执行参数,使用“-n”后,中的一些列安全设置均被绕过。因为目前绝大部分虚拟主机的安全还是依靠php自身的安全设置,该漏洞时将形同虚设。

  截至发稿前,360网站安全检测平台已将PHPCGI漏洞加入了扫描规则,对注册网站用户进行紧急专项扫描,并及时向受漏洞影响的网站管理者发送报警通知。此外,相关网站也可免费使用360网站宝服务,可以有效主动防御黑客针对网站的恶意。

  d5gt.cn 指纹膜 共享纸巾机 赛车群 欢威

关键词:php后端 源码
0
0
0
0
0
0
0
0
下一篇:没有资料

网友评论 ()条 查看

姓名: 验证码: 看不清楚,换一个

推荐文章更多

热门图文更多

最新文章更多

关于联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助

CopyRight 2002-2012 技术支持 源码吧 FXT All Rights Reserved

赞助合作: