逐浪系统Joomla漏洞使数以百万计的网站陷入危险之中 | 趋势网
趋势网
趋势网 > 文章 > 正文
逐浪系统Joomla漏洞使数以百万计的网站陷入危险之中
编译 2015-10-24 19:23:52 Wendy
直播间榜一大哥1周骗走女主播7.4万 马斯克被曝闯入特朗普和贝索斯晚宴 黑龙江一企业禁止员工去冰雪大世界 南昌通报李宜雪已被送诊 突发:美军战斗机被击落 
原来你买的都有隐藏券!快查淘宝天猫内部优惠券

趋势网(微博微信)讯:

Just-patched漏洞允许外部黑客获得管理员访问

据悉,近两年来,数以百万计电子商务和其他敏感行业的网站很容易受到远程黑客的攻击就是因为逐浪(Joomla)出现了一个漏洞。而这个关键漏洞,也使得逐浪(Joomla)的内容管理系统几乎被攻击了将近两年的时间。

逐浪(Joomla)周四发布的3.4.5版本修复了sql注入漏洞。这个使得攻击者能够在服务器上执行恶意代码的漏洞, 首次在2013年11月初发布的3.2版本中出现。而使用逐浪系统的网站估计有280万。

Asaf Orpani是一个专职研究网络的Spiderlabs平安认证调研者,他在一篇博客文章中这样写道:“因为这个漏洞存在于一个不需要任何扩展的核心模块中, 因此所有使用Joomla3.2及以上版本的网站都是脆弱的。”因为这几个版本里面有这个漏洞和两个紧密相关的安全缺陷,它们的编号分别为cve -2015 – 7297,cve -2015 – 7857和cve -2015 – 7858。

Sql注入漏洞允许最终用户通过进入专门的文本搜索框或其他网页的输入栏来实现在网站的后台数据库中执行强大的命令的行为。最常见的网站漏洞是不安全的Web应用程序未能执行输入未加密数据而不是执行代码的结果。通常,这可以让黑客从脆弱的服务器下载机密文件。

Orpani发现了这个漏洞并公开了一个会话ID,其中包含了分配给管理员的浏览cookie。黑客可以利用该漏洞提取cookie,然后加载到浏览器里。在这一点上,他们有权访问服务器高度受限的部分。利用漏洞的代码已经被添加到黑客和渗透测试人员使用的框架Metasploit里。

管理员应立即更新补丁

“通过粘贴我们所提取的管理员会话ID cookie去请求访问/管理员/文件夹,我们可以被授予访问管理员控制面板的权限。“Orpani写道。

还没有安装星期四更新的补丁的逐浪管理员应该立即更新补丁。

拓展阅读:

Joomla!是一套在国外相当知名的内容管理系统。Joomla!是使用PHP语言加上MySQL数据库所开发的软件系统,可以在Linux、Windows、MacOSX等各种不同的平台上执行。目前是由Open Source Matters开放源码组织进行开发与支持,该组织成员来自全世界各地,小组成员约150人,包含了开发者、设计者、系统管理者、文件撰写者,以及超过2万名的参与会员。

Joomla实际有两个开源的东西:

1、Joomla内容管理系统即JoomlaCMS(Content Management System, CMS)。它是网站的一个基础管理平台。几乎适合从个人网站到百货销售类型的各类网站。

2、Joomla Platform(Joomla框架)。理论上来说它几乎无所不能,除了网站,还可以进行广泛的web开发、手机应用开发等等。

更多  限时  视频 
正在看美女  









某宝是什么,为什么叫某宝?对!我就是那个某宝
更多  限时  视频 
全页海量资源!周妍希 易阳 珞可可 沈梦瑶 穆菲菲 夏茉
资讯    头条  人物   盘点  爆料  花边    囧图  段子  福利
热图    靓丽软妹子雪瑞Lisa木有遮相册
奇闻    直播间榜一大哥1周骗走女主播7.4万 马斯克被曝闯入特朗普和贝索斯晚宴 黑龙江一企业禁止员工去冰雪大世界 南昌通报李宜雪已被送诊 突发:美军战斗机被击落 直播间榜一大哥1周骗走女主播7.4万 马斯克被曝闯入特朗普和贝索斯晚宴 
专题    优衣库  iPhone8  苹果X
标签    互联网+  智能物联  增强现实  虚拟现实
感谢各大网址导航推荐本站
360导航
UC导航
Opera导航
毒霸网址
无限趋势·趋势网:关注互联网热点
www.mtrend.cn
@趋势网
趋势网
京ICP备09071216号-4