中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

來源: TechWeb烏云平臺(tái)曝Zend Framework(ZF)框架中的XMLRPC模塊存在xxe(XML external entity)注入漏洞(http://www.wooyun.org/bugs/wooyun-2010-09336)，攻擊者可借此讀取服務(wù)器上的任意文件，包括密碼文件及PHP源代碼。360網(wǎng)站檢測(cè)平臺(tái)掃描發(fā)現(xiàn)，200余家網(wǎng)站存在這一漏洞，知名開源建站平臺(tái)Magento等使用ZF框架的建站系統(tǒng)也受該漏洞影響，波及更多網(wǎng)站。360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址：http://webscan.#/據(jù)了解，ZF框架與PHP一脈相承，應(yīng)用遍及金融、航空、電商、媒體等多個(gè)領(lǐng)域。其中XMLRPC是提供RPC(遠(yuǎn)程過程調(diào)用)和服務(wù)的一個(gè)模塊，采用XML語言在服務(wù)端跟客戶端之間進(jìn)行數(shù)據(jù)交互。在XMLPRC功能開啟的情況下，管理者可以讀取服務(wù)器上的任意文件。但由于xxe(XML external entity)注入漏洞，黑客同樣讀取服務(wù)器上的任意文件。360網(wǎng)站安全檢測(cè)平臺(tái)認(rèn)為，上述漏洞原因在于Zend框架的loadXml函數(shù)(Zend XMLRPC Request.php和Response.php)在解析XML數(shù)據(jù)的時(shí)候未禁用加載外部entities。在初始化SimpleXMLElement類之前未調(diào)用libxml_disable_entity_loader函數(shù)(如圖)。圖：未調(diào)用libxml_disable_entity_loader函數(shù)成漏洞關(guān)鍵這一情況導(dǎo)致當(dāng)WEB應(yīng)用程序使用Zend_XmlRpc_Server類(ZendXmlRpcServer.php)處理XMLRPC請(qǐng)求時(shí)，可能泄露遠(yuǎn)程服務(wù)器的任意文件。黑客利用該漏洞，可以讀取使用Zend框架系統(tǒng)的任意文件，包括數(shù)據(jù)庫(kù)賬號(hào)密碼，進(jìn)而對(duì)整個(gè)網(wǎng)站內(nèi)容進(jìn)行修改，甚至直接盜取PHP源代碼。鑒于該漏洞影響廣泛，且有可能造成網(wǎng)站源代碼泄露等致命危害，360網(wǎng)站安全檢測(cè)平臺(tái)在第一時(shí)間向旗下用戶發(fā)送了告警郵件，強(qiáng)烈建議升級(jí)Zend框架至最新版本(如Magento系統(tǒng))，并定期使用360安全檢測(cè)服務(wù)隨時(shí)監(jiān)控網(wǎng)站安全狀態(tài)。Zend框架最新版本升級(jí)地址：http://framework.zend.com/download/latestMagento官方升級(jí)包補(bǔ)丁下載地址：http://www.magentocommerce.com/blog/comments/important-security-update-zend-platform-vulnerability關(guān)于360網(wǎng)站安全檢測(cè)平臺(tái)360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái)，擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng)，能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞。2011年，360網(wǎng)站安全檢測(cè)平臺(tái)曾協(xié)同360團(tuán)購(gòu)導(dǎo)航，為國(guó)內(nèi)數(shù)百家主流團(tuán)購(gòu)網(wǎng)站提供了免費(fèi)網(wǎng)站漏洞檢測(cè)服務(wù)并提供修復(fù)建議，提高了團(tuán)購(gòu)網(wǎng)站整體安全水平。