PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함

爱喝马黛茶的安东尼
풀어 주다: 2019-11-21 09:47:17
앞으로
4517명이 탐색했습니다.

PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함

authkey 누출로 이어지는 phpcms authkey 생성 알고리즘 문제 복구 문제 정보

简介:
漏洞名称:phpcms authkey生成算法问题导致authkey泄露
补丁文件:caches/configs/system.php
补丁来源:云盾自研
漏洞描述:phpcms在安装时,由于在同一个页面中连续使用mt_rand(),未进行有效mt_srand();种子随机化操作,导致authkey
存在泄漏风险,黑客可利用该漏洞猜解出网站authkey进而入侵网站。【注意:该补丁修复后会自动修改您网站配置文件中的
auth_key和phpsso_auth_key,并且只会运行一次,修复期间会有部分用户访问的cookies失效导致需要登录网站,除此无其他
影响,可放心升级】
…
阿里云漏洞提示。
로그인 후 복사

온라인 솔루션:

1 /caches/configs/system.php에서 첫 번째 매개변수를 추가합니다.

'alivulfix' => 'yes',
로그인 후 복사

수정 후 코드 스크린샷은 다음과 같습니다.

PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함

2. 20자리 문자열인 auth_key를 찾아서 수정하세요.

'auth_key' => '2qKYgs0PgHWWtaFVb3KP', //密钥
로그인 후 복사

3. 32비트 문자열인 auth_key를 찾아 수정하세요. 작성한 내용을 맞춤설정하세요.

'phpsso_auth_key' => 'hjor66pewop_3qooeamtbiprooteqein', //加密密钥
로그인 후 복사

참고: 이 단계는 Alibaba Cloud의 Cloud Knight 원클릭 복구와 동일합니다.

단, 웹사이트 사용자는 당분간 로그인할 수 없으며, 다음으로 가장 중요한 단계가 있습니다.

4. 백그라운드에서 phpsso 관리 센터에 로그인합니다. phpsso ——> 애플리케이션 관리 ——> 편집에서 "통신 키"를 3단계에서 설정한 'phpsso_auth_key' 값으로 편집합니다. 그런 다음 제출을 클릭하세요.

주요 단계의 스크린샷은 다음과 같습니다.

PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함

제출 후 페이지에는 아래와 같이 성공적인 통신이 표시됩니다.

PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함

5. 마지막으로 추가로 로그인을 테스트합니다.

웹 사이트에 로그인할 수 있으며 Alibaba Cloud 백엔드에서 "phpcms 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생합니다"에 대한 메시지가 사라진 것을 확인할 수 있습니다.

Alibaba Cloud 피드백 스크린샷은 다음과 같습니다.

PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함

로컬 파일을 먼저 수정하는 경우:

(1) 수정된 파일을 서버의 해당 파일 위치에 업로드하고 직접 덮어씁니다. (2) 그런 다음 위의 4단계와 5단계를 수행합니다.

(3) 마지막으로 Alibaba Cloud 백엔드에 로그인하고 확인(아래 스크린샷)을 클릭하여 취약점 복구를 완료합니다.

PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함위 내용은 "인증키 유출로 이어지는 phpcms 인증키 생성 알고리즘 문제" 취약점 수정에 대한 내용입니다.

PHP 중국어 웹사이트, 수많은 무료

PHPCMS 튜토리얼

, 온라인 학습을 환영합니다!

위 내용은 PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:csdn.net
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿