致所有用户的道歉信

KasuganoSoras 发表于 2019-01-13 01:45:33 | 查看:443 | 公告


很抱歉,最近网站非常不稳定,给大家带来了很不好的体验,原因是因为我的河南服务器过期了,然后没有及时将域名解析删除。

昨天晚上发生了一件不好的事情,有人告诉我网站存在漏洞,当然不是这个网站,而是我的另一个网站 NcmDump。

接到反馈以后我立刻分析了代码,很快找到了问题所在。我的另一个网站使用了我三年前写的一个 MySQL 查询类,其中一个全表搜索的功能,在处理字符串转义时用的是 htmlspecialchars,这是非常不安全的,因为它只对 HTML 标记进行转义,而不对双引号、单引号转义,因此会造成 SQL 注入。

经过我的朋友测试以及我的验证,确实可以在这个搜索功能里实现注入。

目前我已经将有问题的代码修复,改为了 mysqli_real_escape_string,这个才是正确的转义函数。

这次的事情也提醒了我:

  1. 不应该偷懒而使用过时的代码
  2. 数据库权限应当降低,并且分开每个网站的数据库用户
  3. 增加 WAF 应用防火墙

这次的漏洞是否已经造成数据泄露暂时未知,发现漏洞的朋友已经删除了自己所有获得的数据。

但是并不排除在他之前可能已经有其他人获取到了数据,由于漏洞存在时间较久,已经无法通过日志查询记录了。

网站的所有用户密码都是以 AES-256-CFB 高强度加密储存的,无唯一加密密钥,因此大家也不必过于担心自己的密码可能会泄露,但是我还是建议各位用户尽快修改自己的密码,以确保安全。

除了 NcmDump 这个网站使用了这个过时的查询类,其他网站均是后来重构过的代码,对所有查询的字符串均做了正则表达式匹配以及 mysqli_real_escape_string 转义。

我也会在以后的开发中更加重视安全问题,杜绝此类事件再次发生。

最后再次真诚地向大家道歉,对不起。

KasuganoSoras 在 2019-01-13 01:45:33 发表了帖子


img


帖子评分

评分是对作者的一种鼓励,您可以在评论框输入 /cs score 分数 附言 对帖子进行评分。

最少 1 分,最大 5 分,评分会消耗自己的积分,不能给自己的帖子评分。

暂时没有人评分!


发表你的评论

回帖时请注意遵守论坛发言规定,请勿恶意灌水。

  回帖倒序排列   匿名回复 您还可以输入 2000  


欢迎来到 ZeroDream 论坛!

您还没有登录噢 :P

登陆以后就可以发帖和回复啦~


系统主题选项

在线人数:Loading...

WebSocket 状态:Loading...