dedecms曝重大安全破绽 百万网站受影响

DedeCMS（织梦内容管理系统）近期被曝光存在严重的安全破绽，这一事件引起了广泛关注，以下是对该事件的详细分析：

破绽

1、破绽类型：DedeCMS此次曝出的是一个全版本通杀的SQL注入破绽，SQL注入是一种常见的网络攻击手段，攻击者通过在输入字段中插入反面的SQL代码，从而实现对数据库的非规操作。

2、破绽原理：该破绽产生的原因是DedeCMS在处理用户输入的数据时，未能进行充分的验证和过滤，使得攻击者能够构造特定的SQL语句，绕过原有的查询逻辑，实现对数据库的非规访问和改动，攻击者可以通过提交特殊的SQL代码片段，改变原有SQL查询的结构，从而达到绕过身份验证、读取敏感数据、执行任意命令等目的。

破绽影响范围

由于DedeCMS广泛应用于各类网站的建设，因此这一破绽的影响范围非常广泛，任何使用DedeCMS系统的网站都可能遭受SQL注入攻击，导致数据泄露、网站被改动等严重后果，据估计，国内有超过35万个站点正在使用DedeCMS或基于其核心开发，产品安装量达到95万，因此受此破绽威胁的网站数量可能非常庞大。

应对措施

1、输入验证与过滤：对所有用户输入数据进行严格的验证和过滤，确保输入的数据符合预期的格式，并移除或转义任何可能的SQL代码片段。

2、使用参数化查询或预编译语句：通过使用参数化查询或预编译语句，可以有效地防止SQL注入攻击，在构建SQL查询时，使用参数化查询或预编译语句可以将用户输入与查询逻辑分离，确保用户输入不会被解释为SQL代码。

3、最小权限原则：确保应用程序使用的数据库账号具有最小的权限，不要使用高权限的账号来运行数据库连接，只授予必要的权限给应用程序使用的账号，这样即使攻击者成功注入反面SQL代码，他们也无法执行高权限的操作。

4、定期更新与安全审计：保持DedeCMS系统的更新是非常重要的，定期更新DedeCMS版本可以确保您获得最新的安全补丁和修复程序，定期对网站进行安全审计和渗透测试也是必要的，以便及时发现并修复潜在的安全风险。

5、加强安全意识培训：对网站管理员和开发人员进行安全意识培训，使他们了解常见的网络攻击手段和防护措施，确保他们在实际工作中始终遵循最佳的安全实践。

FAQs

1、问：DedeCMS曝出的安全破绽是什么类型的破绽？

答：DedeCMS此次曝出的是一个全版本通杀的SQL注入破绽。

2、问：这个破绽会对网站造成哪些危害？

答：攻击者可以利用该破绽获得网站后台最高管理权限，从而窃取网站用户的个人帐号密码等私密信息或上传植入盗号载入干扰进行牟利，还可能导致数据泄露、网站被改动等严重后果。

3、问：如何防范这个破绽？

答：可以采取输入验证与过滤、使用参数化查询或预编译语句、遵循最小权限原则、定期更新与安全审计以及加强安全意识培训等措施来防范这个破绽。