某基于DEDECMS5.5网站的安全检测初步报告
原创文章:未经许可,禁止转载 。PDF版地址:http://www.if9.cn/Documentation/新手卡UU8网站安全检测报告.pdf
某基于DEDECMS5.5网站的安全检测初步报告
问题解决:
1、
/include/arc.memberlistview.class.php
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1124</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1124</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1304</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1304</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1334</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1334</b><br />
此处代码删除。
2、
/include/userlogin.class.php
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1124</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1124</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1304</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1304</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1334</b><br />
<br />
<b>Warning</b>: Call-time pass-by-reference has been deprecated in <b>D:/77595.com/data/cache/yhs.php(3) :
eval()'d code(3) : eval()'d code</b> on line <b>1334</b><br />
此处代码删除
程序方面初步分析完毕,解决了报错的问题。
数据库分析:
经过分析,所给的数据库结构一切正常,并未发现后门残留。故略。
问题初步分析:
对方利用的 DEDE 的 0-day 漏洞实现了数据库注入,并且在上述两个文件中加入了伪代码。初步估计对方
并未取得高级权限,可能并未造成大面积破坏,上述代码也仅仅只能实现一个 Warning 警告,并非一句话
木马。
此网站架构分析:
由于拿到的安全样本并非服务器直接即时 Copy,故无检测意义。
建议此网站做一次彻底的安全检测,从程序架构到服务器安全。然后我再提供详细的检测报告。
问题解决时间:
13 分钟
解决人:
林籁泉韵 受教于国内十大安全专家 root,05 年之前混迹黑客界用名:.COM.CN
受朋友邀请友情检测。
某基于DEDECMS5.5网站的安全检测初步报告相关推荐
- 基于python-django的Java网站全站漏洞检测系统
网站描述 整个网站是用于进行java网站的漏洞检测,网站使用Django搭建,网站首先会爬取输入网址的整个网站的url,然后发起漏洞攻击,看是否含有漏洞,现在可以检测的漏洞为struts2-005检测 ...
- 网络安全公司奇安信集团是如何基于 Flink 构建 CEP 引擎实时检测网络攻击【未来不可忽视的网络安全】
摘要: 奇安信集团作为一家网络安全公司是如何基于 Flink 构建 CEP 引擎实时检测网络攻击?其中面临的挑战以及宝贵的实践经验有哪些?本文主要内容分为以下四个方面: 背景及现状 技术架构 产品及运 ...
- 基于Faster R-CNN的安全帽目标检测
向AI转型的程序员都关注了这个号???????????? 机器学习AI算法工程 公众号:datayx 训练模型前的准备 A.数据准备 数据的标注仍然采用VOC格式的数据标注形式,如果是其他的标注形 ...
- 基于单片机的室内空气质量检测系统(甲烷甲醛)
设计简介: 本设计是基于单片机的室内空气质量检测系统,主要实现以下功能: 可通过LCD1602显示当前甲烷和甲醛的值: 可通过按键调整甲醛甲烷的最大值: 可通过MS1100检测甲醛的值: 可通过MQ- ...
- wafw00f--一款基于python识别网站WAF的工具
渗透时候经常会被waf之类的拦截,这时候需要知道目标站点使用了什么防火墙,然后才能根据对应防火墙寻找绕过的姿势.wafw00f就是一款识别网站防火墙的工具. 文章目录 简介 原理 项目地址 命令参数 ...
- 基于javaweb个人网站论坛的设计与实现(源码、论文、毕业设计、数据库文件)
基于javaweb个人网站论坛的设计与实现 摘要 论坛作为一种新的生活上方式,工作方式和学习方式已经被大众所接受.并且在改变着人们的网络社交方式.随着越来越多的人在写论坛,论坛也正在影响着我们的生活. ...
- 开发一个基于Dalvik字节码的相似性检测引擎,比较同一款Android应用程序的不同版本之间的代码差异(二)
上文我们说过,<针对Dalvik字节码的相似性检测引擎,比较同一款Android应用程序的不同版本之间的代码差异>这篇文章计划分两个部分来讲解,上文只介绍了如何利用Quarkslab公司开 ...
- 基于springboot代驾网站毕业设计源码281031
基于springboot代驾网站 摘 要 在信息飞速发展的今天,网络已成为人们重要的信息交流平台.每天都有大量的代驾订单需要通过网络发布,为此,本人开发了一个基于B/S(浏览器/服务器)模式的代驾网站 ...
- 基于DNS数据分析的恶意域名检测
本文主要参考的是Zhauniarovich Y, et al[1]的工作,发表在Acm Computer Surveys上的一篇较为系统地阐述了基于DNS数据分析来进行恶意域名检测的研究背景,研究过程 ...
最新文章
- 数据库物理文件 mysql_MYSQL数据库-物理文件
- Latex学习笔记0
- Java反射之如何判断类或变量、方法的修饰符(Modifier解析)
- JAVA——基于HttpComponents(HttpClient)的简单网络爬虫DEMO
- oracle connection 有时能取到有时候又取不到
- java if和else if的区别_关于C语言中if,elseif和else的区别在哪里
- scrapy爬虫+echarts数据分析(安居客)
- kotlin写的音视频app(已开源)
- (详解)无指针AC自动机
- SQL 数据表基本操作
- 谷歌、斯坦福联合发文:我们为什么一定要用大模型?
- 【数据分析案例】从微信接龙中随机选择k名人员出席
- 一份来自于全球的前端面试题清单,看看老外喜欢考哪些题(部分有答案)
- Ubuntu16.04安装Redshift色温调节工具
- MyBatisPlus中条件构造器中or和orNew的区别
- window11性能提升 打造高性能
- FastASR离线语音识别库
- Spring Security进行登录认证和授权
- 用python画美国国旗
- 樱花未开(更新完毕)
热门文章
- IVY throws IOException Resetting to invalid mark原因及解决办法
- 监控广告变现效果,开发者该如何搭建数据分析体系,如何制定优化策略?
- 解决 matplotlib 字体问题最简单的方法,将matplotlib更改字体为 宋体、TimesNewRoman
- Python:利用cv2模块识别手势
- 如何用AR Engine开发一个虚拟形象表情包?
- 程序员必做50题的解答
- GM7123视频编码电路:TTL转VGA,替换SDA7123转换芯片
- Android 常用正则表达式,2021年Android大厂面试分享
- 收集的各个方向的开发视频教程,分享给自学的同学
- 三维点云语义分割模型介绍