10秒后自動(dòng)關(guān)閉
dingfanzu最新SQL注入漏洞(CNVD-2025-02106、CVE-2025-22976)

dingfanzu是一款基于php+mysql的外賣訂餐網(wǎng)站,包括前端和后臺(tái)。


國家信息安全漏洞共享平臺(tái)于2025-01-20公布該程序存在代碼注入漏洞。

漏洞編號(hào):CNVD-2025-02106、CVE-2025-22976

影響產(chǎn)品:dingfanzu v1.0

漏洞級(jí)別

公布時(shí)間:2025-01-20

漏洞描述:dingfanzu v1.0版本存在SQL注入漏洞,該漏洞源于系統(tǒng)缺少對(duì)外部輸入的SQL語句進(jìn)行驗(yàn)證。攻擊者可利用該漏洞執(zhí)行任意代碼,例如SQL注入、拖庫、刪庫等。


解決辦法:

目前廠商官網(wǎng)都關(guān)閉了,沒法通過升級(jí)補(bǔ)丁修復(fù)該漏洞,因此必須使用第三方防護(hù)系統(tǒng)來解決?梢允褂谩護(hù)衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護(hù)”模塊來解決該注入漏洞,不止對(duì)該漏洞有效,對(duì)所有的SQL注入漏洞和跨腳本漏洞都可以防護(hù)。



1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決dingfanzu的其他安全漏洞,攔截效果如圖三。


SQL注入防護(hù)模塊

(圖一:SQL注入防護(hù)模塊)



xss攻擊防護(hù)

(圖二:XSS跨站腳本攻擊防護(hù))



SQL注入攔截效果

(圖三:SQL注入攔截效果)



2、后臺(tái)保護(hù)

如果對(duì)安全要求較高,還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“網(wǎng)站后臺(tái)保護(hù)”模塊,對(duì)dingfanzu網(wǎng)站后臺(tái)做保護(hù)。


網(wǎng)站后臺(tái)保護(hù)

(圖四:添加網(wǎng)站后臺(tái)保護(hù))



設(shè)置好以后,防入侵系統(tǒng)就會(huì)對(duì)后臺(tái)進(jìn)行保護(hù),后期訪問時(shí)需要先驗(yàn)證授權(quán)密碼(如圖五),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺(tái)保護(hù)

(圖五:訪問后臺(tái)需要輸入授權(quán)密碼)