知名开源框架ThinkPHP出现严重漏洞必需立即进行修复

通配符SSL证书支持不限子域名支持,点击进入信孚科技了解详情

国产知名开源框架ThinkPHP 目前被发现存在严重安全漏洞,并且在野外已经有黑客等利用此漏洞展开攻击。

黑客利用此漏洞可以获得网站管理权篡改内容或导出数据,官方称此漏洞主要是未对控制器进行足够的检查。

需要再次强调的是此漏洞危害极高相关攻击方法已经公开在网上,因此短时间内就可能出现大量攻击的情况。

知名开源开发框架ThinkPHP出现严重漏洞需立即进行修复

示意图,图文无关

使用此框架的网站应立即升级:

无论是直接使用ThinkPHP 搭建网站还是基于此框架进行二次开发的网站现在都必须立即进行升级封堵漏洞。

ThinkPHP 本身作为轻量级开源框架用户众多,除个人网站外很多企业也使用该框架进行二次开发搭建网站。

如果未及时修复的话不仅公司网站被黑还可能到泄露大量的用户信息,会给企业正常运营等带来极大的挑战。

针对该漏洞还有不少批量攻击的方法,安全社区流传消息称可制作自动化工具批量扫描网站并自动完成攻击。

受影响的版本包括5.0.0~5.0.23版:

ThinkPHP官方当前已经发布紧急修复版对漏洞进行封堵,如果你还在使用v5.0.23及以下版本都需要升级的。

但是如果基于二次开发或其他原因无法进行版本升级还有备用方法,通过修改配置文件的方式手动封堵漏洞。

#编辑library/think/Request.php文件并查找以下字符串:
$this->method = strtoupper($_POST[Config::get('var_method')]);
$this->{$this->method}($_POST);

#将上述字符串修改为:
$method = strtoupper($_POST[Config::get('var_method')]);
if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) {
   $this->method = $method;
   $this->{$this->method}($_POST);
    } else {
    $this->method = 'POST';
     }
unset($_POST[Config::get('var_method')]);

#以上方法可缓解漏洞,建议升级v5.0.24版彻底修复漏洞
本文来源 蓝点网 综合,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 综合 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

评论:

1 条评论,访客:1 条,站长:0 条
  1. 雷雨
    雷雨发布于: 
    蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

    必须,必须需要

发表评论