当前位置:首页 >  站长 >  网站运营 >  正文

thinkphp 漏洞修复方案之6.X版本的代码漏洞案例分析

 2020-01-30 16:38  来源: A5用户投稿   我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

大年初五,根据我们SINE安全的网站安全监测平台发现,thinkphp官方6.0版本被爆出高危的网站代码漏洞,该漏洞可导致网站被植入网站木马后门文件也叫webshell,具体产生的原因是session ID参数值这里并未对其做详细的安全过滤与效验,导致可以远程修改POST数据包将session的值改为恶意的后门代码,发送到服务器后端并生成PHP文件直接生成,可导致网站被攻击,服务器被入侵,关于该thinkphp漏洞的详情,我们SINE安全来跟大家分析一下。

thinkphp是国内用的比较多的一套开源系统,采用的是php+mysql架构开发,基于该框架的开发较容易与维护,深受很多站长以及企业的青睐,2018-2019年thinkphp的漏洞就层出不穷,像之前的3.23版本,ThinkPHP 5.0缓存漏洞、ThinkPHP 5.0.10、ThinkPHP5.0.12、ThinkPHP5.0.13、ThinkPHP5.0.23、thinkphp 5.0.22版本都存在这漏洞。

目前的新版本6.0存在着session任意文件上传漏洞,我们SINE安全工程师来进行详细的安全分析与代码的安全检测,再index控制器里我们发现可以写入session来进行控制代码,首先我们看下代码:如下图所示

以上代码是用来获取name的参数值并将值里的内容写到session中去,我们来本地搭建一套TP6.0版本的环境,来测试一下生成的session文件会到哪里去。http://测试网址/tp6/public/index.php/index/testsession?name=当get 访问该页面的时候就会在网站根目录下的runtime文件夹里的session目录下生成一个PHP文件,我们可以看得到。那到底是那段代码导致可以写入文件名的呢?我们仔细看下TP框架里的store.php代码,追踪到253到270行这里,调用了一个参数来进行写入文件的操作,writefile($filename,$data)我们来追踪下这个函数接下来使用到是哪里的值,看下图:

原来是追踪到了sessionID值里去了,也就是POST数据包里的phpsessid,导致该值可以在远程进行伪造与篡改,漏洞利用截图:

经过我们SINE安全的网站安全测试发现,thinkphp的漏洞利用条件是服务器开启session功能,默认代码是不开启的,有些第三方开发公司在给客户网站以及平台开发的时候会用到session功能来控制用户的登录状态以及权限所属判断,可导致网站被攻击,被篡改,数据库内容被修改等攻击情况的发生,在这里我们建议网站的运营者对该代码漏洞进行修复,对session的判断以及写入做拦截与效验,不允许直接.php文件的session值写入,如果您对代码不是太懂的话也可以找专业的网站安全公司来帮您修复网站漏洞

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: websafe    /    文章:148篇

相关标签
网站被黑
网站漏洞

相关文章

  • 网站建设中常见的数据库SQL漏洞有哪些?

    近年来国家对互联网高科技扶持力度逐渐加大,我国正式进入信息化高速发展的时代,随着信息数据成百倍的增长,伴随而来的信息数据安全问题正在面临严峻的挑战,在企业中网站是企业的形象,网站安全不可忽略,接下来小编就带大家聊聊网站建站中常见的SQL漏洞。

  • 网站安全渗透测试的多种姿势

    我认为,无论是带着全栈的工作经验,还是只能一部分技术性专业知识,要想搞好安全测试务必先变换我们观查软件的角度。举个事例,我们一起看一下:一样一幅画,许多人一眼看以往见到的是2个面部,而许多人见到的是一个大花瓶。这就是观查角度的不一样导致的。在我一开始触碰安全测试时就很深的感受来到这一点。那时候我还在

  • 网络安全公司实习生的经验分享

    前几日,见到TSRC的小密圈里进行了一个“高手”主题活动,聊一聊刚入行后,你心中身旁的高手,刚见到主题活动的情况下哥哥去参加了。这里,再次整理一下,也衷心感谢聊一聊零基础的我是怎样迈入安全行业,小结一下本身的成长历程,谢谢一下这一路上遇到的人。读大学那会,人们学的网络安全就真的是纯碎的”网络安全“,

  • 网站渗透测试中的历程经验记录分析

    伴随着我的客户圈慢慢扩展,我的薄弱点也更加突显,例如我长期性摸着内部网,对外部网不太熟,对传统式的安全研究评估也拿捏不准确,一个详细的安全新项目自己压根担负不了。

    标签:
    网站漏洞
  • 网站安全渗透测试行业如何踏入

    实际上这个问题有很多人跟我说,非科班可不可以?没触碰过程序编写,去培训班培训几个月可不可以?30岁了想从传统产业改行回来从业网络信息安全可不可以?实际上从我前边的叙述大伙儿也可以看出去,安全行业实际上对出身并不是很注重,但这也并不代表轻易就能改行回来。

热门排行

信息推荐

扫一扫关注最新创业资讯