近日，知名第三方漏洞報(bào)告平臺烏云曝光建站工具DedeCMS系統(tǒng)反饋頁面存在SQL注入高危漏洞(http://www.wooyun.org/bugs/wooyun-2012-014076 )，攻擊者可以輕易獲取網(wǎng)站管理員密碼，

　　網(wǎng)站數(shù)據(jù)面臨“拖庫”威脅。經(jīng)360網(wǎng)站安全檢測(WebScan)對注冊用戶的分析研究發(fā)現(xiàn)，86%使用DedeCMS的網(wǎng)站存在該漏洞，危害范圍十分廣泛。

　　360網(wǎng)站安全檢測服務(wù)網(wǎng)址：http://webscan.#

　　據(jù)了解，DedeCMS(織夢內(nèi)容管理系統(tǒng))是國內(nèi)知名的PHP類CMS系統(tǒng)，在站長圈內(nèi)應(yīng)用廣泛，用戶涉及企事業(yè)單位、政府機(jī)關(guān)、教育、媒體、IT及互聯(lián)網(wǎng)等多個(gè)行業(yè)，青年文摘、鹽城國土資源部門網(wǎng)站都是用DedeCMS搭建。

　　據(jù)360網(wǎng)站安全檢測分析，造成DedeCMS漏洞的原因在于其plus\feedback.php中的變量$typeid，由于未對參數(shù)進(jìn)行初始化檢測，從而導(dǎo)致SQL注入漏洞的產(chǎn)生。

　　圖1：feedback.php中過濾不嚴(yán)導(dǎo)致漏洞

　　360安全專家表示，攻擊者通過提交回復(fù)，無需審核即可發(fā)表回復(fù)，并執(zhí)行惡意語句，竊取管理員的賬號和密碼，后只需進(jìn)行MD5解密便可得到明文密碼。經(jīng)驗(yàn)證，有些網(wǎng)站雖然沒有啟用會(huì)員模塊，但依舊存在feedback頁面，這導(dǎo)致在允許游客評論的狀態(tài)下，SQL漏洞就可以被利用;而即便禁止游客評論，也可能面臨安全風(fēng)險(xiǎn)。

　　圖2：實(shí)施SQL注入攻擊后，可獲得管理員賬號密碼

　　目前，DedeCMS V5.7以下版本都受該漏洞影響，DedeCMS官方已提供下載補(bǔ)丁進(jìn)行修復(fù)(http://bbs.dedecms.com/551651.html)，但補(bǔ)丁推出一段時(shí)間來，360網(wǎng)站安全檢測發(fā)現(xiàn)仍有大量網(wǎng)站并未重視。對此，360網(wǎng)站安全檢測平臺已向旗下用戶發(fā)送警告郵件，建議廣大站長及管理員盡快下載官方補(bǔ)丁進(jìn)行修復(fù)，并使用360網(wǎng)站安全檢測和360網(wǎng)站衛(wèi)士，保護(hù)網(wǎng)站安全。

　　關(guān)于360網(wǎng)站安全服務(wù)

　　360為站長提供免費(fèi)的網(wǎng)站安全解決方案，包括360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士：

　　360網(wǎng)站安全檢測平臺是國內(nèi)首個(gè)集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測平臺，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng)，能夠第一時(shí)間協(xié)助網(wǎng)站檢測修復(fù)漏洞;

　　360網(wǎng)站衛(wèi)士則為站長免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁面壓縮、緩存加速和永久在線等服務(wù)。

　　關(guān)于奇虎360科技有限公司

　　奇虎360(NYSE:QIHU)是中國第一大互聯(lián)網(wǎng)安全服務(wù)提供商。按照用戶數(shù)量計(jì)算，目前奇虎360是中國第三大互聯(lián)網(wǎng)公司。作為“免費(fèi)安全”的首創(chuàng)者，奇虎360為近4億中國互聯(lián)網(wǎng)用戶提供領(lǐng)先的互聯(lián)網(wǎng)和無線安全產(chǎn)品及服務(wù)，覆蓋率近90%。奇虎360通過提供細(xì)致、完善的平臺服務(wù)以及網(wǎng)絡(luò)安全服務(wù)，以開放平臺實(shí)現(xiàn)商業(yè)價(jià)值，與合作伙伴共同建立起多方共贏的互聯(lián)網(wǎng)生態(tài)體系。