近日,360企业安全集团代码卫士团队安全研究人员发现PHP5框架下存在一个高危的安全漏洞,该框架V5.1.7-V5.1.8版本在底层数据处理驱动解析数据的时候存在缺陷,一定场景下,攻击者可以通过构造恶意数据包利用SQL注入的方式获取用户数据库内容。
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,国内用户量众多。近日,360企业安全集团代码卫士团队安全研究人员发现PHP5框架下存在一个高危的安全漏洞,该框架V5.1.7-V5.1.8版本在底层数据处理驱动解析数据的时候存在缺陷,一定场景下,攻击者可以通过构造恶意数据包利用SQL注入的方式获取用户数据库内容。
360企业安全集团代码卫士团队第一时间与ThinkPHP官方取得联系,并进行沟通修复,建议官方团队及时对该漏洞进行修复,并通知相关用户更新官方发布的新版本。ThinkPHP官方团队也在报送当天(2018.4.6)对该漏洞进行了紧急修复,并在2018年4月12号发布的“ThinkPHP5.0.17&5.1.9版本发布——包含安全更新”通知中,提醒用户第一时间更新框架版本。
ThinkPHP官方团队向代码卫士团队发出感谢信
此次漏洞的提交和修复过程中,ThinkPHP的官方人员积极与代码卫士研究团队保持联系,360代码卫士团队表现出的技术实力和“安全第一”的理念受到了ThinkPHP官方的充分认可,同时双方就ThinkPHP的安全问题作了更深入的交流,代码卫士团队也在ThinkPHP的安全建设上为官方提出了不少宝贵的建议。
随着双方的进一步接触,相信未来360代码卫士团队和ThinkPHP官方会有更多的合作机会,共同提升ThinkPHP的安全能力,为全球PHP开发爱好者打造更加健康的开发环境。
360代码卫士团队致力于软件源代码与可执行码的漏洞分析技术研究和产品开发。代码安全实验室是专门从事源代码、二进制漏洞挖掘和分析的研究团队,主要研究方向包括:Windows/Linux/MacOS操作系统、应用软件、开源软件、网络设备、IoT设备等。团队成员既有二进制漏洞挖掘高手,微软全球TOP100贡献白帽子,Pwn2own2017冠军队员,又有开源软件安全大拿,人工智能安全专家。实验室安全团队的研究成果获得微软、Adobe、各种开源组织等的50多次致谢。
480
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
