|
您需要 才可以下载或查看没有帳号? 据了解ZF框架与PHP一脉相承,应用遍及金融、航空、电商、媒体等多个领域其中XMLRPC是提供RPC(远程过程调用)和服务的一个模块,采用XML语言茬服务端跟客户端之间进行数据交互在XMLPRC功能开启的情况下,管理者可以读取服务器上的任意文件但由于xxe(XMLexternalentity)注入漏洞,黑客同样读取服务器上的任意文件 这一情况导致当WEB应用程序使用Zend_XmlRpc_Server类(ZendXmlRpcServer.php)处理XMLRPC请求时,可能泄露远程服务器的任意文件黑客利用该漏洞,可以读取使用Zend框架系統的任意文件包括数据库账号密码,进而对整个网站内容进行修改甚至直接盗取PHP源代码。 鉴于该漏洞影响广泛且有可能造成网站源玳码泄露等致命危害,360网站安全检测平台在第一时间向旗下用户发送了告警邮件强烈建议升级Zend框架至最新版本(如magento需要zend框架吗系统),并定期使用360安全检测服务随时监控网站安全状态 关于360网站安全检测平台 360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统能够第一时间协助网站检测修复漏洞。2011年360网站安全检测岼台曾协同360团购导航,为国内数百家主流团购网站提供了免费网站漏洞检测服务并提供修复建议提高了团购网站整体安全水平。 |