hongcmsv4.0任意文件删除导致重装

apple 1 Months+ 64

https://www.seebug.org/vuldb/ssvid-97853

在网上发现,请问是什么漏洞,有修复了吗

New Post (5)
  • weenfier 1 Months+
    Quote 2Floor
    这你也信,呵呵。

    还有一个国家网络安全之类的网站也宣称HongCMS有漏洞,说是的后台某一处缺少URL过滤,可能导致数据库被注入。

    这个所谓的“国家级网络安全中心”估计也是用一个安全测试软件扫描全站程序文件,发现如此漏洞。

    本人其实知道后台有个别地方为了写程序方便,而不过滤URL。如果黑客不能突破后台,即使知道这个漏洞也无能为力。

    就如同你家最核心的安全是门,而明知柜子不安全,有时也会把钱放在一个不上锁的柜子里。

    这个所谓安全中心还给本人发了Email,云里雾里说了一通,总之是希望和他们联系。

    几年前国外还有很多公司做这种业务,现在转移到国内来了。

    我的经验是,即使有漏洞也不会理他们。
  • weenfier 1 Months+
    Quote 3Floor

    上面说错 了。是所谓的“国家计算机网络应急技术处理协调中心”的网站。

    国家信息安全漏洞共享平台,发布的漏洞报告,参见:https://www.cnvd.org.cn/flaw/show/CNVD-2019-13617

    这个所谓的国家中心的技术支持居然是:恒安嘉新(北京)科技股份公司

  • weenfier 1 Months+
    Quote 4Floor
    他们要是真心实意的想做好事,你也把漏洞的详细问题公布出来,好让厂商修复啊。
  • apple 1 Months+
    Quote 5Floor
    是的,就是没有把详细的漏洞公布,哈
  • weenfier 1 Months+
    Quote 6Floor
    放心使用吧。如果真有一天你的网站被黑了,请速报告。

    另外,如果自己二次开发,特别是前台的开发,一定要参考原程序的安全过滤等相关代码。
Back
Create New Thread