Heim > CMS-Tutorial > PHPCMS > PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

爱喝马黛茶的安东尼
Freigeben: 2019-11-21 09:47:17
nach vorne
4573 Leute haben es durchsucht

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

Über das Reparaturproblem des phpcms-Authentifizierungsschlüssel-Generierungsalgorithmusproblems, das einen Authentifizierungsschlüsselverlust verursacht hat

简介:
漏洞名称:phpcms authkey生成算法问题导致authkey泄露
补丁文件:caches/configs/system.php
补丁来源:云盾自研
漏洞描述:phpcms在安装时,由于在同一个页面中连续使用mt_rand(),未进行有效mt_srand();种子随机化操作,导致authkey
存在泄漏风险,黑客可利用该漏洞猜解出网站authkey进而入侵网站。【注意:该补丁修复后会自动修改您网站配置文件中的
auth_key和phpsso_auth_key,并且只会运行一次,修复期间会有部分用户访问的cookies失效导致需要登录网站,除此无其他
影响,可放心升级】
…
阿里云漏洞提示。
Nach dem Login kopieren

Online-Lösung :

1. Fügen Sie in /caches/configs/system.php den ersten Parameter hinzu:

'alivulfix' => 'yes',
Nach dem Login kopieren

Nach der Änderung sieht der Code-Screenshot wie folgt aus:

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

2. Suchen und ändern Sie auth_key, eine 20-stellige Zeichenfolge, passen Sie einfach an, was Sie schreiben.

'auth_key' => '2qKYgs0PgHWWtaFVb3KP', //密钥
Nach dem Login kopieren

3. Suchen und ändern Sie auth_key, eine 32-Bit-Zeichenfolge, passen Sie einfach an, was Sie schreiben.

'phpsso_auth_key' => 'hjor66pewop_3qooeamtbiprooteqein', //加密密钥
Nach dem Login kopieren

Hinweis: In diesem Schritt ist es dasselbe wie bei der Cloud Knight-Reparatur mit einem Klick von Alibaba Cloud.

Es ist nur so, dass Website-Benutzer sich vorerst nicht anmelden können, und als nächstes kommt der wichtigste Schritt.

4. Melden Sie sich im Hintergrund im phpsso-Verwaltungscenter an. Bearbeiten Sie den „Kommunikationsschlüssel“ auf den in „phpsso_auth_key“ festgelegten Wert Schritt 3 und klicken Sie dann auf „Senden“.

Screenshots der wichtigsten Schritte sind wie folgt:

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

Nach der Übermittlung zeigt die Seite eine erfolgreiche Kommunikation an, wie unten dargestellt.

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

5. Testen Sie abschließend zusätzlich den Login.

Sie werden feststellen, dass die Website angemeldet werden kann und die Meldung im Alibaba Cloud-Backend „Problem mit dem phpcms-Authkey-Generierungsalgorithmus führt zu Authkey-Leckage“ ebenfalls verschwunden ist.

Feedback von Alibaba Cloud, der Screenshot lautet wie folgt:

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

Wenn Sie zuerst die lokale Datei ändern:

(1) wird geändert werden Die Datei wird an den entsprechenden Dateispeicherort auf dem Server hochgeladen und direkt überschrieben

(2) Fahren Sie dann mit den Schritten 4 und 5 oben fort.

(3) Melden Sie sich abschließend beim Alibaba Cloud-Backend an und klicken Sie auf „Überprüfen“ (Screenshot unten), um die Schwachstellenbehebung abzuschließen.

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

Oben geht es um die Behebung der Schwachstelle „Problem mit dem phpcms-Authentifizierungsschlüssel-Generierungsalgorithmus, der zu einem Authschlüssel-Leck führt“.

PHP chinesische Website, eine große Anzahl kostenloser PHPCMS-Tutorials, willkommen zum Online-Lernen!

Das obige ist der detaillierte Inhalt vonPHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:csdn.net
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage