關鍵字:網頁設計、程式設計、資訊安全、系統開發、網頁設計作品、PHP程式設計
文/周峻佑 | 2024-06-07發表

臺灣資安業者戴夫寇爾針對PHP程式語言於6月6日修補的漏洞CVE-2024-4577提出警告,此為重大層級的遠端程式碼執行(RCE)漏洞,存在於CGI參數而有可能被用於注入攻擊。由於全球有近八成網站採用PHP,這項漏洞的影響範圍有可能會非常廣泛。
這項漏洞發生的原因,在於此程式語言在設計時,忽略Windows作業系統對於字元編碼轉換的過程,採取最佳化對應(Best-Fit)的方式進行。攻擊者可在未經身分驗證的情況下,藉由特定字元序列繞過原本因應PHP-CGI查詢字串參數漏洞CVE-2012-1823的防護措施,而有機會藉由參數注入或其他手法,在遠端的PHP伺服器上執行任意程式碼。
值得留意的是,研究人員提及這項漏洞影響所有Windows版本的PHP,PHP目前已發布8.3.8、8.2.20、8.1.29版予以修補,但對於已終止支援的8.0版、7.x、5.x版,戴夫寇爾也公布網站管理員檢查伺服器是否易受攻擊的方法,以及暫時的緩解措施。
研究人員以最常搭配Apache HTTP Server的情境提出說明,他們已確認當Windows作業系統執行正體中文、簡體中文,或是日文的時候,攻擊者就有機會觸發上述漏洞,直接在遠端伺服器執行任意程式碼。
他們也提及2種可被觸發漏洞的情形,其中一種是將PHP設置於CGI模式執行,另一種則是將PHP執行檔曝露於CGI資料夾,即使未透過CGI模式執行PHP,也會曝露相關風險。
由於安裝Windows版XAMPP的預設組態,也將PHP執行檔存放於CGI資料夾,因此他們認為,使用這種套件的Windows主機,也可能受影響。
網頁設計.RWD響應式網站.活動網站 / 服務類
網站技術:PHP . Javascript/MySql
世展發起募捐計畫,利用募捐的錢來幫助貧困教育、生活甚至是疾病,可以減輕家中的負擔。
線上捐款辦法也非常容易,點選右下角"我要送出紅包">>勾選要送出的紅包類型>>完成付款就可以喔。
網頁設計.RWD響應式網站.企業形象網站.無障礙網頁 / 服務類
網站技術:PHP
響應台灣無障礙的生活的理念,各地輔具中心皆有相關設備提供民眾租借使用以解決生活中的不便利。 為了讓更多無障礙朋友能使用網站,網站目前等級是無障礙2.0且功能操作上也是相當簡易與便利,資訊清楚明瞭。
網頁設計.RWD響應式網站.企業形象網站 / 服務類
網站技術:PHP
網頁設計,網頁切版,後台程式管理
傑立資訊事業有限公司電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策