這篇文章給大家介紹PrestaShop網(wǎng)站漏洞修復(fù)辦法是什么，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

我們提供的服務(wù)有：成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、晉江ssl等。為上千余家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的晉江網(wǎng)站制作公司

PrestaShop網(wǎng)站的漏洞越來越多，該網(wǎng)站系統(tǒng)是很多外貿(mào)網(wǎng)站在使用的一個(gè)開源系統(tǒng)，從之前的1.0初始版本到現(xiàn)在的1.7版本，經(jīng)歷了多次的升級，系統(tǒng)使用的人也越來越多，國內(nèi)使用該系統(tǒng)的外貿(mào)公司也很多，PrestaShop擴(kuò)展性較高，模板也多，多種貨幣自由切換，并支持信用卡以及paypal支付，是外貿(mào)網(wǎng)站的首選。就在最近幾天，PrestaShop被爆出有遠(yuǎn)程代碼注入漏洞，該漏洞影響范圍較光，危害較大，可以上傳webshell到網(wǎng)站根目錄下。

2018年11月7號(hào)PrestaShop官方發(fā)布了最新的版本，并修復(fù)了網(wǎng)站的漏洞，其中包含了之前被爆出的文件上傳漏洞，以及惡意刪除圖片文件夾的漏洞，該漏洞的利用條件是需要有網(wǎng)站的后臺(tái)管理權(quán)限。

這次發(fā)現(xiàn)的PrestaShop漏洞，是遠(yuǎn)程代碼注入漏洞，漏洞產(chǎn)生的代碼如下在后臺(tái)的admin-dev目錄下filemanager文件里的ajax_calls.php代碼，這個(gè)遠(yuǎn)程的注入漏洞是后臺(tái)處理上傳文件的功能導(dǎo)致的，代碼里的getimagesize()函數(shù)是獲取圖片地址的一個(gè)函數(shù)，該函數(shù)使用了php反序列化,這個(gè)反序列化存在遠(yuǎn)程調(diào)用的一個(gè)功能，就是在這個(gè)功能里存在遠(yuǎn)程代碼注入與執(zhí)行，我們構(gòu)造惡意的注入代碼對其圖片代碼提交就會(huì)執(zhí)行我們的代碼，我們來演示一下，首先搭建一臺(tái)linux服務(wù)器，并搭建好apache+MySQL數(shù)據(jù)庫的環(huán)境，拷貝PrestaShop代碼到服務(wù)器中，進(jìn)行安裝，并調(diào)試可以打開。

我們來嘗試一下如何利用該漏洞，在后臺(tái)admin-rename目錄下的filemanager文件夾dialog.php的文件，進(jìn)行調(diào)用，這個(gè)頁面就是控制上傳文件，上傳圖片的，使用action可以對上傳的參數(shù)進(jìn)行安全控制，我們可以構(gòu)造代碼執(zhí)行，admin-rename/filemanager/execute.php?action=rename_folder，post的方式進(jìn)行提交，發(fā)送數(shù)據(jù)到這個(gè)文件代碼里，利用PHP的反序列化就可以自動(dòng)的解析代碼，達(dá)到遠(yuǎn)程代碼注入執(zhí)行的效果。

PrestaShop網(wǎng)站漏洞修復(fù)與辦法

升級PrestaShop的版本到最新版本，設(shè)置php.ini的解析功能為off具體是phar.readonly=off,這里設(shè)置為關(guān)閉，對網(wǎng)站的上傳功能加強(qiáng)安全過濾，過濾非法參數(shù)的插入，對網(wǎng)站的漏洞代碼進(jìn)行功能性的注釋。

關(guān)于PrestaShop網(wǎng)站漏洞修復(fù)辦法是什么就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

當(dāng)前名稱：PrestaShop網(wǎng)站漏洞修復(fù)辦法是什么
文章地址：http://www.ekvhdxd.cn/article40/pjeeeo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、網(wǎng)站制作、定制開發(fā)、外貿(mào)建站、動(dòng)態(tài)網(wǎng)站、網(wǎng)站營銷

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)