首页 > 文章 > 杂文

PHPCMS管理员帐号暴力破解漏洞
时间:2014-05-15 00:04:02  点击: 来源:  作者:



描述: 绕过验证码限制,对网站管理员帐户进行口令猜解。 危害: 在一定情况下,admin帐号被破解,造成非法登录,网站被破坏,为攻击者进一步攻击创造条件。 解决方案: 方案一: 官方补丁:http://bbs.ph ...



描述:
绕过验证码限制,对网站管理员帐户进行口令猜解。
危害:
在一定情况下,admin帐号被破解,造成非法登录,网站被破坏,为攻击者进一步攻击创造条件。
解决方案:

 

方案一:

官方补丁:http://bbs.phpcms.cn/thread-877921-1-1.html

方案二:

if(file_exists(CACHE_PATH.'phpsso_install.lock')) {
exit('-4');
} else {
file_put_contents(CACHE_PATH.'phpsso_install.lock', '1');
}
把上面的代码加到phpsso_server/api/install.php中约13行的位置即可,或者下载官方的补丁对比下install.php

方案三:

把phpsso_server/api/install.php中倒数第二个exit('-2');中的数字改成任意值

注:方案二、三针对的是二次开发的用户

”您可通过以下微信二维码,赞赏作者“
 
 
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
推荐资讯
linux服务器同步互联网时间
linux服务器同步互联
亚马逊云lightsail服务器使用教程 | 亚马逊云lightsail使用指南
亚马逊云lightsail服
hostdare 4折优惠,直接降价60% 美国洛杉矶低至 $10.4/年 768M内存/1核/10gNVMe/500g流量
hostdare 4折优惠,直接
六类网线cat6a和cat6e的区别
六类网线cat6a和cat6e
相关文章
栏目更新
栏目热门

关于我们 | 广告服务 | 联系我们 | 网站地图 | 免责声明 | WAP | RSS


Copyright © 运维之家 2013-2023