设为首页收藏本站 开启辅助访问
搜索
    查看: 1020|回复: 0

    【安全预警】PHPMyWind 5.3-5.5任意密码重置漏洞

    [复制链接]
    发表于 2019-3-12 17:43:00 | 显示全部楼层 |阅读模式
    北京时间2019年2月18日,安全狗海青实验室的安全研究人员发现了一个PHPMyWind的任意密码重置漏洞。
    PHPMyWind是一套基于PHP和MySQL并符合W3C标准的企业网站建设解决方案,拥有着较大的用户群体(根据PHPMyWind官网介绍,已下载超15万次)。
    该“任意密码重置漏洞”联合利用了“反射型XSS漏洞”与“逻辑漏洞”。攻击者可以利用该“反射型XSS漏洞”,通过诱使受害者点击恶意链接,窃取受害者的Cookie;接着,攻击者可以利用Cookie伪造受害者身份,利用该“逻辑漏洞”修改“受害者的密保问题”,进而达到重置受害者密码的目的。
    受影响的版本是5.3-5.5版本,海青实验室根据最新的研究分析总结出了一些防护建议,敬请用户知晓。

    安全狗的处置建议如下:
    请使用PHPMyWind 5.3-5.5的用户使用“网站安全狗”的“漏洞防护规则-HTTP安全检测”功能进行防御,如图所示。

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2019-5-27 03:08 , Processed in 0.095973 second(s), 21 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表