答:您好,
目前查询该主机没有开启百度云加速,测试绑定域名目前没有解析指向百度云加速节点,因此没有百度云加速缓存;
如果遇到其它问题,您可以详细描述下;非常感谢您长期对我司的支持!
问:已经修改了源代码.但是不生效.无静态.无缓存,那是什么原因
答:您好,
问:每个栏目都点下吧.这个地方是共用的.不清楚为什么只有部分生效
答:您好,主机没有缓存,核实模板中是已经修改删除了邮箱的内容,请您核实一下程序上是否有缓存之类的,非常感谢您长期对我司的支持!
问:委托单位:中华人民共和国工业和信息化部网络安全管理局受委托单位:阿里云计算有限公司漏洞名称:ThinkCMF templateFile 远程代码执行漏洞
影响资产
阿里云账号@qq.com
漏洞描述2019年11月6日,阿里云应急响应中心监测到ThinkCMF templateFile 远程代码执行漏洞。攻击者通过构造特定的请求,成功利用该漏洞可直接获取服务器权限。
漏洞造成的影响由于ThinkCMF对某些函数的访问权限设置存在问题,攻击者在无需任何权限情况下可以通过构造恶意请求,向服务器写入任 意内容的文件,达到远程代码执行的目的。攻击者利用该漏洞可以直接获取到服务器权限,阿里云应急响应中心提醒ThinkCMF用户尽快采取安全措施阻止漏洞攻击。
安全建议请关注ThinkCMF官方以便获取更新信息:https://www.thinkcmf.com/自行修改代码。将文件 HomebaseController.class.php 和 baseController.class.php 类中 display 和 fetch 函数的修饰符改为 protected。
技术参考https://help.aliyun.com/noticelist/articleid/.html
建设方案
建议您立即组织技术力量全面排查网络系统安全隐患,及时整改修复,并开展以下安全建设,确保网络系统安全运行。1、定期进行专业的安全评估。2、针对安全评估结果协调开发团队或厂商进行有效的安全整改和修复。3、配备专业的Web应用防火墙,针对来自互联网的主流WEB应用安全攻击进行安全防护。4、建立和完善一套有效的安全管理制度,对信息系统的日常维护和使用进行规范。5、建立起一套完善有效的应急响应预案和流程,并定期进行应急演练,一旦发现发生任何异常状况可及时进行处理和恢复, 有效避免网站业务中断带来损失。6、定期对相关管理人员和技术人员进行安全培训,提高安全技术能力和实际操作能力。或使用阿里云 安全渗透测试服务,有专人跟进帮你解决安全风险
受影响目标http://jsjszz.com/index.php?a=fetch&templateFile=public/index&prefix=&content=<php>file_put_contents(\”c4ca42 38a0b923820dcc509a6f75849b.php\”,\”c81e728d9d4c2f636f067f89cc14862c\”)</php>漏洞证明
漏洞地址:http://jsjszz.com/ 验证方法:
GET http://jsjszz.com/index.php?a=fetch&templateFile=public/index&prefix=&content=<php>file_put_contents(\”c4ca4238a0b923820dcc509 a6f75849b.php\”,\”c81e728d9d4c2f636f067f89cc14862c\”)</php>
访问 http://jsjszz.com/c4ca4238a0b923820dcc509a6f75849b.php测试WebShell地址:http://jsjszz.com/c4ca4238a0b923820dcc509a6f75849b.php
答:您好,
此提示为网站程序自身存在漏洞,我司并非专业程序商,对您所使用的程序也不熟悉,该问题需联系程序提供商协助更新程序和修复相应漏洞,非常感谢您长期对我司的支持!
