35刺猬建站系统危险过滤不全导致命令执行缺陷及

 

简要描述：

刺猬建站是35互联推出的新一代标准化 网站建设 服务，极大地降低了建站和更新成本。刺猬建站功能齐全、方便易用，深受中小企业欢迎。此次 漏洞 属于危险代码过滤不全所致，可直接拿站，危害甚大......

详细说明：

程序 PHP 危险代码过滤不全，可直接获得webshell......

 

用户管理后台弹出窗口文件notice.php只是简单地过滤了

<?   

 

phpinfo();   

 

?>

 

但是没有过滤php文件的另外一种写法：

<script language="php">   

 

phpinfo();   

 

</script>

 

在后台相关编辑器代码格式里可直接添加此危险代码，漏洞由此产生！

漏洞证明：

菜刀连接之，见图：

 

 

 

修复方案：

过滤相关危险代码...

查看更多关于35刺猬建站系统危险过滤不全导致命令执行缺陷及的详细内容...