所有使用hdwiki建站的朋友注意了

肥鱼

http://bbs.360.cn/5500045/253792330.html?recommend=1
[2012第047期]HDWiki百科系统漏洞群曝光 众知名网站中招
来源：360安全中心　 发布日期：2012-04-27　 已有26条评论   我要评论
日前MSN中国某频道惊曝漏洞引发关注，Wooyun（乌云漏洞平台）分析称，漏洞源于该网站使用的HDWiki建站系统存在“SQL注入漏洞、上传漏洞以及任意密码修改漏洞”等多处高危漏洞（http://www.wooyun.org/bugs/wooyun-2010-06230）。经360网站安全检测发现，99%使用HDWiki的网站都存在上述漏洞，面临服务器被黑客全面控制的危险。目前，360网站安全检测平台已经向相关注册网站发出了告警邮件。

360网站安全检测平台服务网址：http://webscan.360.cn

HDWiki是一款国产Wiki百科建站系统，因其历史悠久且功能齐全，一直深受国内百科站长的青睐，包括MSN健康百科、知音百科、通用汽车、维基天文等知名网站，均不同程度地使用了该系统搭建。

图1：黑客利用SQL注入获取管理员密码

自漏洞曝光后，HDWiki官方在4月20日发布了更新补丁。然而经过360安全工程师分析，其中部分补丁并没有起到封堵漏洞的效果，即便网站更新HDWiki官方补丁，仍可被黑客轻易实施攻击，这波百科类网站安全警报至此仍未解除。

图2：黑客可将任意文件上传，并控制服务器

图3：黑客通过任意用户密码修改漏洞登录后台

鉴于HDWiki系列漏洞的影响范围及严重性，360网站安全检测已第一时间向平台用户发送了告警邮件，并提供全面有效的漏洞修复方案。同时，360网站安全检测http://webscan.360.cn也已支持HDWiki所有被公开漏洞的检测，可以扫描并发现发现官方补丁的绕过问题，建议相关网站及时检测修复。

关于360网站安全检测平台
360网站安全检测平台是国内首个集网站漏洞检测网站挂马监控网站篡改监控于一体的免费检测平台，拥有全面的网站漏洞库及蜜罐集群检测系统，能够第一时间协助网站检测修复漏洞。2011年，360网站安全监测平台曾协同360团购导航，为国内数百家主流团购网站提供了免费网站漏洞检测服务并提供修复建议，提高了团购网站整体安全水平。

汉陈帝国

我很赞同!

imtu

神马都是浮云!

youyi

什么东东？

xen

这程序太烂了。。

失足大叔

还是帝国好

肥鱼

失足大叔 发表于 2012-5-7 21:23
还是帝国好

MediaWIKI

失足大叔

肥鱼 发表于 2012-5-7 21:25
MediaWIKI

那东西太大了，而且没有中文教程

肥鱼

失足大叔 发表于 2012-5-7 21:37
那东西太大了，而且没有中文教程

网上很多的

英文资料也很多