Heim  >  Artikel  >  CMS-Tutorial  >  PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

爱喝马黛茶的安东尼
爱喝马黛茶的安东尼nach vorne
2019-11-21 09:47:174519Durchsuche

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

Über das Reparaturproblem des phpcms-Authentifizierungsschlüssel-Generierungsalgorithmusproblems, das einen Authentifizierungsschlüsselverlust verursacht hat

简介:
漏洞名称:phpcms authkey生成算法问题导致authkey泄露
补丁文件:caches/configs/system.php
补丁来源:云盾自研
漏洞描述:phpcms在安装时,由于在同一个页面中连续使用mt_rand(),未进行有效mt_srand();种子随机化操作,导致authkey
存在泄漏风险,黑客可利用该漏洞猜解出网站authkey进而入侵网站。【注意:该补丁修复后会自动修改您网站配置文件中的
auth_key和phpsso_auth_key,并且只会运行一次,修复期间会有部分用户访问的cookies失效导致需要登录网站,除此无其他
影响,可放心升级】
…
阿里云漏洞提示。

Online-Lösung :

1. Fügen Sie in /caches/configs/system.php den ersten Parameter hinzu:

'alivulfix' => 'yes',

Nach der Änderung sieht der Code-Screenshot wie folgt aus:

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

2. Suchen und ändern Sie auth_key, eine 20-stellige Zeichenfolge, passen Sie einfach an, was Sie schreiben.

'auth_key' => '2qKYgs0PgHWWtaFVb3KP', //密钥

3. Suchen und ändern Sie auth_key, eine 32-Bit-Zeichenfolge, passen Sie einfach an, was Sie schreiben.

'phpsso_auth_key' => 'hjor66pewop_3qooeamtbiprooteqein', //加密密钥

Hinweis: In diesem Schritt ist es dasselbe wie bei der Cloud Knight-Reparatur mit einem Klick von Alibaba Cloud.

Es ist nur so, dass Website-Benutzer sich vorerst nicht anmelden können, und als nächstes kommt der wichtigste Schritt.

4. Melden Sie sich im Hintergrund im phpsso-Verwaltungscenter an. Bearbeiten Sie den „Kommunikationsschlüssel“ auf den in „phpsso_auth_key“ festgelegten Wert Schritt 3 und klicken Sie dann auf „Senden“.

Screenshots der wichtigsten Schritte sind wie folgt:

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

Nach der Übermittlung zeigt die Seite eine erfolgreiche Kommunikation an, wie unten dargestellt.

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

5. Testen Sie abschließend zusätzlich den Login.

Sie werden feststellen, dass die Website angemeldet werden kann und die Meldung im Alibaba Cloud-Backend „Problem mit dem phpcms-Authkey-Generierungsalgorithmus führt zu Authkey-Leckage“ ebenfalls verschwunden ist.

Feedback von Alibaba Cloud, der Screenshot lautet wie folgt:

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

Wenn Sie zuerst die lokale Datei ändern:

(1) wird geändert werden Die Datei wird an den entsprechenden Dateispeicherort auf dem Server hochgeladen und direkt überschrieben

(2) Fahren Sie dann mit den Schritten 4 und 5 oben fort.

(3) Melden Sie sich abschließend beim Alibaba Cloud-Backend an und klicken Sie auf „Überprüfen“ (Screenshot unten), um die Schwachstellenbehebung abzuschließen.

PHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck

Oben geht es um die Behebung der Schwachstelle „Problem mit dem phpcms-Authentifizierungsschlüssel-Generierungsalgorithmus, der zu einem Authschlüssel-Leck führt“.

PHP chinesische Website, eine große Anzahl kostenloser PHPCMS-Tutorials, willkommen zum Online-Lernen!

Das obige ist der detaillierte Inhalt vonPHPCMS-Schwachstelle: Ein Problem mit dem Authkey-Generierungsalgorithmus führt zu einem Authkey-Leck. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:csdn.net. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen