当前位置:找DLL下载站系统新闻软件疑难安全资讯 → [2012第26期]MY动力系统“暴库”漏洞十年未得根除

[2012第26期]MY动力系统“暴库”漏洞十年未得根除

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2012-3-12 8:58:28

在网站漏洞中,有些如流星般只存在几小时或几天即被修复,而有些漏洞存在10年仍未根除。近日,360网站安全检测平台通过对旗下用户的“老漏洞”专项扫描发现,有233家网站存在“MY动力系统‘暴库’漏洞”,占所有使用“MY动力系统”网站的84%。这个老牌漏洞可能导致数据库地址流出,进而造成网站用户隐私泄露等严重问题。

  360网站安全检测平台:http://webscan.360.cn

  “My动力系统”是一款基于ASP开发的网络管理系统,在ASP流行的时候,几乎占领了整个ASP管理系统的市场。而“暴库”是指黑客通过技术手段或程序漏洞得到数据库完整地址,并将数据非法下载到本地。此后,黑客就能获取网站管理账号,对网站进行破坏与管理,并获取用户的隐私信息,甚至得到服务器的最高权限。

  具体到My动力系统“暴库”漏洞,黑客只需在浏览器中输入一个简单的地址就可以得到完整的数据库地址(图)。


图:黑客通过输入地址即可获得完整的数据库地址

  360安全工程师表示:“在众多攻击手段中,最简单的往往最有效,比如黑客至今仍乐此不疲的弱口令,以及这个历史悠久的“暴库”漏洞,通过服务器的配置问题,和错误信息反馈,轻松得到网站管理员密码并登录后台,在后台中得到webshell对服务器进行更深入的渗透攻击,得到整个服务器的控制权,危及站长以及用户的信息隐私安全。”

  鉴于该“暴库”漏洞的广泛性及危害性,360网站安全检测平台专门发布了简单有效的解决方案:
  1.在数据库连接页面加入“on error resume next”容错语句;
  2.将数据库后缀改为asp,并且在数据库中加入防下载处理。

  关于360网站安全检测平台(服务网址:http://webscan.360.cn )

  360网站安全检测平台是国内首个集网站漏洞检测网站挂马监控网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞。2011年,360网站安全监测平台曾协同360团购导航,为国内数百家主流团购网站提供了免费网站漏洞检测服务并提供修复建议,提高了团购网站整体安全水平。