亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

PrestaShop網站漏洞修復辦法是什么

發布時間:2022-01-10 11:21:52 來源:億速云 閱讀:129 作者:柒染 欄目:安全技術

這篇文章給大家介紹PrestaShop網站漏洞修復辦法是什么,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

PrestaShop網站的漏洞越來越多,該網站系統是很多外貿網站在使用的一個開源系統,從之前的1.0初始版本到現在的1.7版本,經歷了多次的升級,系統使用的人也越來越多,國內使用該系統的外貿公司也很多,PrestaShop擴展性較高,模板也多,多種貨幣自由切換,并支持信用卡以及paypal支付,是外貿網站的首選。就在最近幾天,PrestaShop被爆出有遠程代碼注入漏洞,該漏洞影響范圍較光,危害較大,可以上傳webshell到網站根目錄下。
PrestaShop網站漏洞修復辦法是什么

2018年11月7號PrestaShop官方發布了最新的版本,并修復了網站的漏洞,其中包含了之前被爆出的文件上傳漏洞,以及惡意刪除圖片文件夾的漏洞,該漏洞的利用條件是需要有網站的后臺管理權限。

這次發現的PrestaShop漏洞,是遠程代碼注入漏洞,漏洞產生的代碼如下在后臺的admin-dev目錄下filemanager文件里的ajax_calls.php代碼,這個遠程的注入漏洞是后臺處理上傳文件的功能導致的,代碼里的getimagesize()函數是獲取圖片地址的一個函數,該函數使用了php反序列化,這個反序列化存在遠程調用的一個功能,就是在這個功能里存在遠程代碼注入與執行,我們構造惡意的注入代碼對其圖片代碼提交就會執行我們的代碼,我們來演示一下,首先搭建一臺linux服務器,并搭建好apache+mysql數據庫的環境,拷貝PrestaShop代碼到服務器中,進行安裝,并調試可以打開。

PrestaShop網站漏洞修復辦法是什么

我們來嘗試一下如何利用該漏洞,在后臺admin-rename目錄下的filemanager文件夾dialog.php的文件,進行調用,這個頁面就是控制上傳文件,上傳圖片的,使用action可以對上傳的參數進行安全控制,我們可以構造代碼執行,admin-rename/filemanager/execute.php?action=rename_folder,post的方式進行提交,發送數據到這個文件代碼里,利用PHP的反序列化就可以自動的解析代碼,達到遠程代碼注入執行的效果。

PrestaShop網站漏洞修復與辦法

升級PrestaShop的版本到最新版本,設置php.ini的解析功能為off具體是phar.readonly=off,這里設置為關閉,對網站的上傳功能加強安全過濾,過濾非法參數的插入,對網站的漏洞代碼進行功能性的注釋。

關于PrestaShop網站漏洞修復辦法是什么就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

古蔺县| 收藏| 尉氏县| 思茅市| 历史| 金川县| 儋州市| 牡丹江市| 收藏| 宝山区| 银川市| 卢氏县| 中宁县| 通榆县| 林芝县| 永济市| 平顶山市| 乌鲁木齐县| 贵州省| 怀仁县| 阜新市| 鹤峰县| 德保县| 株洲市| 石台县| 文成县| 阳原县| 融水| 裕民县| 沐川县| 徐州市| 科技| 金川县| 霍邱县| 两当县| 肥西县| 图木舒克市| 台山市| 永和县| 永州市| 贵定县|