SEMCMS外贸网站系统一套开源外贸企业网站管理系统,有ASP和PHP两个版本(是为数不多的ASP系统,点个赞!),支持多种语言,主要用于外贸企业,因其功能强大,操作使用简单,拥有大量用户。
国家信息安全漏洞共享平台于2024-09-26公布其存在跨站脚本漏洞。
漏洞编号:CNVD-2024-39254、CVE-2024-46103
影响产品:SEMCMS(PHP) V4.8
漏洞级别:高
公布时间:2024-09-26
漏洞描述:该漏洞来自于后台文件 SEMCMS_Main.php 缺少对外部输入的SQL命令进行验证,黑客可利用该漏洞执行非法SQL命令,执行篡改数据、拖库等危险操作。
解决办法:
SEMCMS_Main.php文件是后台管理文件,我们可以从物理层面限定:只允许合法管理员进入后台、进行SQL注入防护。通过两步操作就可以彻底解决问题。
因此我们需要用到『护卫神·防入侵系统』系统的“网站后台保护”和“SQL注入防护”来解决。
1、网站后台保护
如下图一,对后台(/admin/)进行保护,后期访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。让黑客根本接触不到这个漏洞,自然也就无法入侵了!
(图一:网站后台保护设置)
(图二:访问后台需要输入授权密码)
2、SQL注入攻击防护
『护卫神·防入侵系统』自带的SQL注入防护模块(如图三),拦截效果如图四。
(图三:SQL注入防护模块)
(图四:SQL注入拦截效果)
3、使用篡改防护,进一步提升安全
『护卫神·防入侵系统』的“篡改防护”模块内置有SEMCMS的防篡改策略,只需要在“篡改防护-添加CMS防护”,选择“SEMCMS外贸网站系统(PHP版)安全模板”,就可以自动配置好防篡改规则,非常强大、方便。(如下图五)
(图五:SEMCMS防篡改功能)