宜昌网络公司_PHP超级漏洞曝光 360率先发布解决方案

       5月4日音讯，360网站平安检测平台发布橙色平安警报称，最新曝光的PHPCGI破绽已遭黑客进击，严峻要挟应用CGI形式执行PHP的网站效劳器。据360检测，国内绝大大都虚拟主机供应商存在此破绽，进击者只需找就任意一个PHP文件，即可应用破绽长途执行歹意代码，然后攻下整台效劳器。当前，国内仅360网站宝(http://wzb.360.cn)可为受破绽影响的网站供应防护处理方案。

　　PHPCGI破绽最早由国外平安研讨者于近日公开，其实践存在的工夫则长达约8年之久。据360网站平安工程师引见，该破绽是用户将HTTP恳求参数提交至Apache效劳器，经过mod_cgi模块交给后端的php-cgi处置，但在执行进程中局部字符没有获得处置，比方空格、等号(=)、减号(-)等。应用这些字符，进击者可以向后端的php-cgi解析顺序提交歹意数据，php-cgi会将这段“数据”当做php参数直接执行，当前截获到的进击首要应用以下PHP参数：

       包括当地文件读取内容：

        读取PHP源码：

        直接执行恣意敕令：

　　经过长途包括直接在效劳器上执行webshell：

       360网站平安检测平台剖析以为，PHPCGI破绽风险并不只限于长途执行代码，进击者还可以界说php的执行参数，运用“-n”后，php.ini中的一些列平安设置均被绕过。由于当前绝大局部虚拟主机的平安照样依托php本身的平安设置，遭遇该破绽进击时将形同虚设。

　　到发稿前，360网站平安检测平台已将PHPCGI破绽参加了扫描规矩，对注册网站用户进行紧要专项扫描，并实时向受破绽影响的网站治理者发送报警告诉。此外，相关网站也可无偿使用360网站宝效劳，可以有用自动防护黑客针对网站的歹意进击。