BbocWeb存上传漏洞 360网站安全警示站长及时防御

近日，360网站安全“库带计划”收集到一个BocWeb CMS系统的上传漏洞。黑客可利用该漏洞上传恶意脚本到目标网站根目录下，获取敏感信息，甚至直接控制网站。360网站安全已第一时间告知BOCweb官方，同时提示用户及时去BOC博采互动官网下载最新安全补丁。

图：在网站根目录下刚刚上传的text文件

BocWeb是国内主流的的网站建设系统之一，主要服务于国内企业及行业用户。360“库带计划”安全技术高手在分析时发现，BocWeb系统的uploadify上传插件由于权限控制不当，导致黑客可以将任意文件上传到目标网站的根目录下。如果向目标网站上传恶意脚本，黑客就能够直接获取到网站敏感数据，甚至直接控制网站，将危害到万科、保利、吉利汽车、珀莱雅、浙江广厦数百家地产、电器、汽车等行业企业的网站。

图：BOC博采互动官网地产案例截图

360网站安全中心第一时间联系了BocWeb官方，并及时增加了相应的防护规则。360网站安全提醒广大企业网站及时联系BOC博采互动公司获取最新的安装补丁，同时加入360网站卫士，进一步做好安全防护措施。

据了解，360“库带计划”目前已经协助ShopEx、Discuz！、ECShop、ShopEX、PHPWind、PHPCMS等数十余个知名建站和IT系统修复了安全漏洞，降低了近百万家网站和机构被黑客攻击的风险。

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!