PHPCMS漏洞之authkey生成算法问题导致authkey泄露怎么办
发表于:2024-09-22 作者:千家信息网编辑
千家信息网最后更新 2024年09月22日,这篇文章主要介绍了PHPCMS漏洞之authkey生成算法问题导致authkey泄露怎么办,具有一定借鉴价值,需要的朋友可以参考下。希望大家阅读完这篇文章后大有收获。下面让小编带着大家一起了解一下。关
千家信息网最后更新 2024年09月22日PHPCMS漏洞之authkey生成算法问题导致authkey泄露怎么办
这篇文章主要介绍了PHPCMS漏洞之authkey生成算法问题导致authkey泄露怎么办,具有一定借鉴价值,需要的朋友可以参考下。希望大家阅读完这篇文章后大有收获。下面让小编带着大家一起了解一下。
关于phpcms authkey生成算法问题导致authkey泄露的修复问题
简介:漏洞名称:phpcms authkey生成算法问题导致authkey泄露补丁文件:caches/configs/system.php补丁来源:云盾自研漏洞描述:phpcms在安装时,由于在同一个页面中连续使用mt_rand(),未进行有效mt_srand();种子随机化操作,导致authkey存在泄漏风险,黑客可利用该漏洞猜解出网站authkey进而入侵网站。【注意:该补丁修复后会自动修改您网站配置文件中的auth_key和phpsso_auth_key,并且只会运行一次,修复期间会有部分用户访问的cookies失效导致需要登录网站,除此无其他影响,可放心升级】…阿里云漏洞提示。
在线解决办法:
1、在/caches/configs/system.php,增加第一个参数:
'alivulfix' => 'yes',
修改后,代码截图如下:
2、找到并修改auth_key,20位字符串;具体写什么,自定义即可。
'auth_key' => '2qKYgs0PgHWWtaFVb3KP', //密钥
3、找到并修改auth_key,32位字符串;具体写什么,自定义即可。
'phpsso_auth_key' => 'hjor66pewop_3qooeamtbiprooteqein', //加密密钥
注意:到了这一步,跟阿里云的云骑士一键修复是一样的了。
只是网站用户暂时都登录不了,接下来还有最重要的一步。
4、后台登录phpsso管理中心,在导航菜单phpsso --> 应用管理 --> 编辑中,编辑"通信密钥"为第3步设置的'phpsso_auth_key'的值,然后点击提交。
关键步骤截图如下:
提交之后,页面显示通信成功,如下图。
5、最后,额外去测试一下登录。
你会发现,网站可以登录了,而且阿里云后台关于"phpcms authkey生成算法问题导致authkey泄露"的提示也都消失了。
阿里云反馈,截图如下:
如果,你先修改的是本地文件:
(1)将修改好的文件,上传到服务器对应文件位置,直接覆盖;
(2)接着操作上文第4、5步,即可。
(3)最后,登录阿里云后台,点击验证(截图如下),即可完成漏洞修复。
感谢你能够认真阅读完这篇文章,希望小编分享PHPCMS漏洞之authkey生成算法问题导致authkey泄露怎么办内容对大家有帮助,同时也希望大家多多支持,关注行业资讯频道,遇到问题就找,详细的解决方法等着你来学习!
漏洞
问题
网站
登录
算法
生成
文件
阿里
截图
后台
密钥
篇文章
补丁
怎么办
字符
字符串
用户
页面
提示
管理
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
网络手机数据库
今日网络安全报道
昆广网络技术部
服务器搭建与管理试卷
运维和网络安全哪个岗位好
lpl数据库合同
数据结构数据库系统原理
erp企业管理简单软件开发
5g服务器机柜的价格
服务器防护墙软件
实习计算机网络技术心得
云南软件开发技术有限公司
出国代理服务器
工控上位软件开发
联想7z60服务器初始密码
ios系统软件开发服务方案价格
中医古籍的数据库
软件开发合同的增值税怎么开
2个数据库同步数据
华为p30网络安全证书
网络安全保卫部的职责
计算机系统为什么要学数据库
excel一列输入数据库
网络技术行业简介
永顺县服务器
上海数据金融网络技术服务热线
软件开发属于什么类型企业
服务器的容量如何选
问道手游如何加入服务器
俞敏洪谈网络技术