Drupal 服务器上可能存在 SQL 注入和格式错误的 URL

Drupal 服务器上可能存在 SQL 注入和格式错误的 URL

我们有一个生产 Drupal 服务器提供内容,但点击寻呼机链接时,某些页面会损坏。我们发现 URL 被替换为无法识别的关键字。例如,

对于 URL

www.foo.com/poems/case/index.html?search_api_views_fulltext=&page=2

URL 更改为

www.foo.com/poems/case/index.html/命令?search_api_views_fulltext=&page=2

同样,最近几天,cmd.php 有时会被 /contact 和 /www.googletagmanager.com/ns.html 取代。

单击链接时,Drupal 日志会成功获取,如下所示。从表面上看,我们怀疑存在 SQL 注入。您觉得如何?

www.foo.com/poem/case/index.html/contact?search_api_views_fulltext=&page=21&%3Bamp%25252525253bamp%2525252525253b%2525252525253bamp%2525252525253bpage=1&%3Bamp%2525252525253bamp%2525252525253b%2525252525253bpage=1&%3Bamp%2525252525253bamp%2525252525253bpage=3&%3Bamp%2525252525253bpage=2&%3Bpage=3 HTTP/1.1" 200 19997

答案1

这听起来可能是某人尝试各种漏洞的副作用(对于网站探测 WP 漏洞的事件来说,这很常见)并意外毒害了呈现内容的缓存。

此类问题的一些示例: https://www.drupal.org/node/2847972 https://www.drupal.org/node/2819197

我也有点困惑,为什么你的任何路径都会有 index.html - 这只是一个别名吗?

答案2

单击寻呼机链接时,某些页面会损坏

这听起来像是

  1. 生成寻呼机的代码有问题 - 它是核心代码还是贡献代码?它似乎有问题,但并不一定代表存在安全漏洞。
  2. 缓存代码损坏

相关内容