“360第三方漏洞收集平台”是360公司推出的漏洞悬赏项目,以现金奖励方式征集开源建站系统漏洞,用以帮助软件公司和开发者及时推出漏洞补丁,加强国内网站对黑客攻击“拖库”的防范能力。已经协助多家厂商修复了漏洞,涉及Discuz!、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等知名建站系统。
对于无法立刻修复漏洞的网站,建议启用360免费网站防护产品—360网站卫士,可以帮助网站防入侵、防攻击、防篡改,而且可以快速配置。地址:http://wangzhan.360.cn/
附:漏洞原理:
漏洞存在mobile页面,由于用户注册能使用任意字符作为用户名,导致后续的二次注入漏洞,用户注册未过滤。
用构造好的语句当做用户名注册用户,存入数据库,后续会对用户名做查询操作导致产生了sql注入攻击。
▲
漏洞利用效果
直接插入构造好的sql语句来注册用户名,然后登入
