帝国论坛帝国软件产品与服务帝国备份王关于阿里云盾【帝国备份王代码注入漏洞】误报回复贴 【本版专题贴子】  
 1/2     1 2 ›› ›|
主题:关于阿里云盾【帝国备份王代码注入漏洞】误报回复贴 [加入收藏夹]   

pkkgu
用户头衔:探花 *

精华贴   :2
发贴数   :1941
经验值   :6820
注册时间:2008-12-17
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 1 楼]
关于阿里云盾【帝国备份王代码注入漏洞】误报回复贴
漏洞名称:empirebak帝国备份王代码注入漏洞
补丁编号:4388506
补丁文件:/class/functions.php
补丁来源:云盾自研
更新时间:2016-04-25 15:10:34
漏洞描述:empirebak帝国备份王备份替换功能滥用导致黑客可向磁盘文件插入恶意代码

[该贴被修改 1 次,最后修改时间 2016-04-26 10:14:39 ]


www.hz36.com帝国演示站
www.hz39.com帝国演示站
基于帝国ECMS6.6_公文签收系统
QQ:910111100
2016-04-26 09:41:06 已设置保密 顶部 回复 引用 报告 编辑 删除

帝兴
用户头衔:管理员

精华贴   :0
发贴数   :1090
经验值   :14840
注册时间:2006-11-03
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 2 楼]

IDC误报,上面所说的提前是必须能登录帝国备份王后台,除非你将备份王后台登录地址、用户名、密码全部发给别人或泄露,否则不存在该安全问题。



新手帮助:帝国CMS使用教程在线浏览 帝国CMS新手常见问题
2016-04-26 10:09:42 已设置保密 顶部 回复 引用 报告 编辑 删除

帝兴
用户头衔:管理员

精华贴   :0
发贴数   :1090
经验值   :14840
注册时间:2006-11-03
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 3 楼]

特别提醒:安装帝国备份王后只要修改默认的管理员密码、默认的验证随机码,就能保证帝国备份王后台安全。
为防止部分用户偷懒,安装后都不修改默认密码,帝国备份王5.0版及以后安装后都将强制修改默认的管理员密码、默认的验证随机码。


其它之前已经回复过相关贴子,可以看这贴:http://bbs.phome.net/showthread-9-344400-0.html



新手帮助:帝国CMS使用教程在线浏览 帝国CMS新手常见问题
2016-04-26 10:27:38 已设置保密 顶部 回复 引用 报告 编辑 删除

html高手
用户头衔:探花

精华贴   :0
发贴数   :9114
经验值   :23336
注册时间:2008-02-23
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 4 楼]

要登陆帝国备份王后台才可以使用“替换目录文件”功能,都能登陆后台什么操作不危险?数据库啥的都有权限。




2016-04-26 10:40:47 已设置保密 顶部 回复 引用 报告 编辑 删除

cnnb
用户头衔:探花

精华贴   :0
发贴数   :5907
经验值   :16839
注册时间:2008-10-14
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 5 楼]

阿里恶搞啊




2016-04-28 08:15:29 已设置保密 顶部 回复 引用 报告 编辑 删除

pw8
用户头衔:探花

精华贴   :0
发贴数   :8790
经验值   :22584
注册时间:2008-10-10
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 6 楼]

顶下




2016-06-23 16:12:13 已设置保密 顶部 回复 引用 报告 编辑 删除

pw8
用户头衔:探花

精华贴   :0
发贴数   :8790
经验值   :22584
注册时间:2008-10-10
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 7 楼]

相当于小偷有你家的钥匙,想偷什么还不容易吗?前提是你得把钥匙给小偷,不给他也没有办法

[该贴被修改 1 次,最后修改时间 2016-06-23 16:22:01 ]



2016-06-23 16:16:41 已设置保密 顶部 回复 引用 报告 编辑 删除

tc008
用户头衔:书生

精华贴   :0
发贴数   :5
经验值   :23
注册时间:2009-12-06
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 8 楼]

阿里7月份又发了一个提示:帝国备份王(empirebak)存在任意登录漏洞
https://help.aliyun.com/knowledge_detail/37459.html

是说那个“万能cookie伪造登陆”的问题吗?现在还存在吗?
http://www.myhack58.com/Article/html/3/62/2015/57961.htm




2017-01-10 11:04:43 已设置保密 顶部 回复 引用 报告 编辑 删除

tc008
用户头衔:书生

精华贴   :0
发贴数   :5
经验值   :23
注册时间:2009-12-06
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 9 楼]

PS:帝国有没有官方群?或者官方微信?
想实时关注一下帝国的消息




2017-01-10 11:06:11 已设置保密 顶部 回复 引用 报告 编辑 删除

html高手
用户头衔:探花

精华贴   :0
发贴数   :9114
经验值   :23336
注册时间:2008-02-23
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 10 楼]

不存在,要知道cookie前缀+验证随机码+用户名+密码等条件都同时满足才可以组合登录认证,除非你安装后不修改密码和验证随机码(5.0版以后安装后也是强制让修改,不修改都用不了帝国备份)
要知道服务器上的这些文件内容连服务器权限都该有了

[该贴被修改 1 次,最后修改时间 2017-01-10 11:20:14 ]



2017-01-10 11:08:46 已设置保密 顶部 回复 引用 报告 编辑 删除
 1/2     1 2 ›› ›|

快速回复
内容

表情
使用EBB代码 使用smile代码 显示签名 自动分析url 自动分析img
     【进入高级模式】   (按 Ctrl+Enter 直接提交)
    顶部  加入收藏夹
关于帝国 | 广告服务 | 联系我们 | 法律声明 | 隐私条款 | 许可协议
Powered by: EBB Version 2.2.1