漏洞

微擎最新版SQL注入，htmlspecialchars_decode 函数对全局过滤gpc产生的 \’ 进行转义，将可控的参数$html的污染值插入数据库后,产生SQL注入漏洞。

微擎SQL注入漏洞，对输入参数id未进行严格过滤，导致SQL注入的发生。

微擎二次注入漏洞，sql语句查询前未作处理为sql注入漏洞的根源，同时多个sql语句拼接执行，使攻击者可以注入更长的代码。最后查询的变量用户可以控制，所以最终该漏洞可以实施攻击。

微擎1.5.4任意用户删除漏洞，代码权限控制存在漏洞导致攻击者可任意删除用户。

近来阿里云服务器报警 Wordpress IP验证不当漏洞，wp-includes/http.php 文件中的wp_http_validate_url函数对输入IP验证不当，导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证，进行SSRF。

微擎微赞SQL注入漏洞涉及文件 store.ctrl.php

日前Linux官方内置Bash中新发现一个非常严重安全漏洞（漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271 ），黑客可以利用该Bash漏洞完全控制目标系统并发起攻击，为了避免您Linux服务器受影响，可通过如下方法修复漏洞。 特别提醒：Linux 官方已经给出最新解决方案，已经解决被绕过的bug，建议尽快重新完成漏洞修补。openSUSE 镜像暂时还没有给出，我们会在第一时间更新解决方案。

今天感冒了，各种的难受！精神很差，效率也很低！ 休息一下，玩玩360网站安全检测，提示哥网站存在HTTP响应拆分漏洞，又称CRLF注入攻击漏洞。 漏洞地址：https://yangjunwei.com/?r=xxxxx

前天发现服务器被入侵或攻击了，一些网站上被挂上了彩票或伺服的广告，登录服务器，发现一些网站根目录有“思易免杀ASP木马”等一些可以提权的ASP文件，当即崩溃！目前仍在郁闷中，哪位高手能指点一下，检测入侵漏洞？多谢了。。。