PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

Über das Reparaturproblem des phpcms-Authentifizierungsschlüssel-Generierungsalgorithmusproblems, das einen Authentifizierungsschlüsselverlust verursacht hat

简介：
漏洞名称：phpcms authkey生成算法问题导致authkey泄露
补丁文件：caches/configs/system.php
补丁来源：云盾自研
漏洞描述：phpcms在安装时，由于在同一个页面中连续使用mt_rand()，未进行有效mt_srand();种子随机化操作，导致authkey
存在泄漏风险，黑客可利用该漏洞猜解出网站authkey进而入侵网站。【注意：该补丁修复后会自动修改您网站配置文件中的
auth_key和phpsso_auth_key，并且只会运行一次，修复期间会有部分用户访问的cookies失效导致需要登录网站，除此无其他
影响，可放心升级】
…
阿里云漏洞提示。

Online-Lösung :

1. Fügen Sie in /caches/configs/system.php den ersten Parameter hinzu:

'alivulfix' => 'yes',

Nach der Änderung sieht der Code-Screenshot wie folgt aus:

2. Suchen und ändern Sie auth_key, eine 20-stellige Zeichenfolge, passen Sie einfach an, was Sie schreiben.

'auth_key' => '2qKYgs0PgHWWtaFVb3KP', //密钥

3. Suchen und ändern Sie auth_key, eine 32-Bit-Zeichenfolge, passen Sie einfach an, was Sie schreiben.

'phpsso_auth_key' => 'hjor66pewop_3qooeamtbiprooteqein', //加密密钥

Hinweis: In diesem Schritt ist es dasselbe wie bei der Cloud Knight-Reparatur mit einem Klick von Alibaba Cloud.

Es ist nur so, dass Website-Benutzer sich vorerst nicht anmelden können, und als nächstes kommt der wichtigste Schritt.

4. Melden Sie sich im Hintergrund im phpsso-Verwaltungscenter an. Bearbeiten Sie den „Kommunikationsschlüssel“ auf den in „phpsso_auth_key“ festgelegten Wert Schritt 3 und klicken Sie dann auf „Senden“.

Screenshots der wichtigsten Schritte sind wie folgt:

Nach der Übermittlung zeigt die Seite eine erfolgreiche Kommunikation an, wie unten dargestellt.

5. Testen Sie abschließend zusätzlich den Login.

Sie werden feststellen, dass die Website angemeldet werden kann und die Meldung im Alibaba Cloud-Backend „Problem mit dem phpcms-Authkey-Generierungsalgorithmus führt zu Authkey-Leckage“ ebenfalls verschwunden ist.

Feedback von Alibaba Cloud, der Screenshot lautet wie folgt:

Wenn Sie zuerst die lokale Datei ändern:

(1) wird geändert werden Die Datei wird an den entsprechenden Dateispeicherort auf dem Server hochgeladen und direkt überschrieben

(2) Fahren Sie dann mit den Schritten 4 und 5 oben fort.

(3) Melden Sie sich abschließend beim Alibaba Cloud-Backend an und klicken Sie auf „Überprüfen“ (Screenshot unten), um die Schwachstellenbehebung abzuschließen.

Oben geht es um die Behebung der Schwachstelle „Problem mit dem phpcms-Authentifizierungsschlüssel-Generierungsalgorithmus, der zu einem Authschlüssel-Leck führt“.

PHP chinesische Website, eine große Anzahl kostenloser PHPCMS-Tutorials, willkommen zum Online-Lernen!

Das obige ist der detaillierte Inhalt vonPHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!