PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함

authkey 누출로 이어지는 phpcms authkey 생성 알고리즘 문제 복구 문제 정보

简介：
漏洞名称：phpcms authkey生成算法问题导致authkey泄露
补丁文件：caches/configs/system.php
补丁来源：云盾自研
漏洞描述：phpcms在安装时，由于在同一个页面中连续使用mt_rand()，未进行有效mt_srand();种子随机化操作，导致authkey
存在泄漏风险，黑客可利用该漏洞猜解出网站authkey进而入侵网站。【注意：该补丁修复后会自动修改您网站配置文件中的
auth_key和phpsso_auth_key，并且只会运行一次，修复期间会有部分用户访问的cookies失效导致需要登录网站，除此无其他
影响，可放心升级】
…
阿里云漏洞提示。

온라인 솔루션:

1 /caches/configs/system.php에서 첫 번째 매개변수를 추가합니다.

'alivulfix' => 'yes',

수정 후 코드 스크린샷은 다음과 같습니다.

2. 20자리 문자열인 auth_key를 찾아서 수정하세요.

'auth_key' => '2qKYgs0PgHWWtaFVb3KP', //密钥

3. 32비트 문자열인 auth_key를 찾아 수정하세요. 작성한 내용을 맞춤설정하세요.

'phpsso_auth_key' => 'hjor66pewop_3qooeamtbiprooteqein', //加密密钥

참고: 이 단계는 Alibaba Cloud의 Cloud Knight 원클릭 복구와 동일합니다.

단, 웹사이트 사용자는 당분간 로그인할 수 없으며, 다음으로 가장 중요한 단계가 있습니다.

4. 백그라운드에서 phpsso 관리 센터에 로그인합니다. phpsso ——> 애플리케이션 관리 ——> 편집에서 "통신 키"를 3단계에서 설정한 'phpsso_auth_key' 값으로 편집합니다. 그런 다음 제출을 클릭하세요.

주요 단계의 스크린샷은 다음과 같습니다.

제출 후 페이지에는 아래와 같이 성공적인 통신이 표시됩니다.

5. 마지막으로 추가로 로그인을 테스트합니다.

웹 사이트에 로그인할 수 있으며 Alibaba Cloud 백엔드에서 "phpcms 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생합니다"에 대한 메시지가 사라진 것을 확인할 수 있습니다.

Alibaba Cloud 피드백 스크린샷은 다음과 같습니다.

로컬 파일을 먼저 수정하는 경우:

(1) 수정된 파일을 서버의 해당 파일 위치에 업로드하고 직접 덮어씁니다. (2) 그런 다음 위의 4단계와 5단계를 수행합니다.

(3) 마지막으로 Alibaba Cloud 백엔드에 로그인하고 확인(아래 스크린샷)을 클릭하여 취약점 복구를 완료합니다.

위 내용은 "인증키 유출로 이어지는 phpcms 인증키 생성 알고리즘 문제" 취약점 수정에 대한 내용입니다.

PHP 중국어 웹사이트, 수많은 무료

PHPCMS 튜토리얼

, 온라인 학습을 환영합니다!

위 내용은 PHPCMS 취약점: 인증 키 생성 알고리즘 문제로 인해 인증 키 유출이 발생함의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!