中国IDC圈11月25日报道:近日,360网站安全“库带计划”收集到一个libsys图书馆系统的注入漏洞。该漏洞可使黑客获取到数据库信息,恶意篡改数据,甚至造成“拖库”等危害。360网站安全已第一时间告知
libsys官方,并向360网站安全检测用户发出告警。
libsys是江苏汇文软件公司推出的一款基于B/S架构的图书馆自动化系统,主要服务于国内各大院校的图书馆,国内42%的“211工程大学”和诸多的“985工程大学”均采用了libsys图书馆管理系统。
图:libsys图书馆管理系统在高校中占比
“库带计划”安全技术高手在分析时发现,该系统asord_marc_record.php文件中的某个参数,由于没有进行安全过滤会形成注入漏洞,从而让黑客能够轻松获取到敏感信息,进而可以对数据进行恶意篡改,甚至会造成“拖库”等危险。统计显示,国内近百所高校图书馆系统存在此漏洞,面临遭到黑客攻击的威胁。
图:libsys系统漏洞
随后,360网站安全中心第一时间联系了libsys官方,并及时增加了相应的防护规则。360网站安全提醒广大高校及时联系libsys官方并升级最新系统补丁,同时加入360网站卫士,进一步做好漏洞防护措施。
据了解,“库带计划”是360网站安全今年3月份推出重金悬赏技术高手活动,旨在保护广大网站安全,提升360网站安全防御漏洞的能力。目前已经协助ShopEx、Discuz!、ECShop、ShopEX、PHPWind、PHPCMS等数十余个知名建站和IT系统修复了安全漏洞,降低了近百万家网站和机构被黑客攻击的风险。
360网站安全总监赵武表示,“库带计划”能够帮助大多数建站程序快速修复漏洞,及时推出补丁保护网站用户的数据安全。他表示,面对日益泛滥网站攻击威胁,广大站长可以部署免费的“360网站卫士”,既可以有效防范黑客攻击,更能够为网站访问加速等实用功能。
热门专题
