Web应用系统爆严重漏洞 绿盟科技提供快速检测

　　1月6日，国内广泛使用的Web论坛程序——Discuz!论坛系统爆出严重漏洞(Discuz!论坛showmessage函数远程代码执行漏洞，受影响版本为Discuz! 7.1-7.2)。利用该漏洞攻击者可远程生成Webshell，从而执行系统指令。针对此情况，绿盟科技安全专家快速研究，于1月7日针对该漏洞的检测发出紧急升级包。目前通过绿盟远程安全评估系统Web应用扫描模块可以第一时间检测用户的Web应用是否存在该漏洞，并提供相应的修补建议。

　　由于Discuz!论坛系统是国内使用最广泛的论坛之一，并且该漏洞利用难度低，仅需要注册一个一般账号就可以利用该漏洞攻击Discuz!论坛系统，攻击者通过该漏洞与其他漏洞相结合可获得整个Web系统的控制权，甚至可通过此漏洞渗透进其内网。因此该漏洞的出现，很可能导致地下黑客产业利用该漏洞进行广泛的挂马攻击。

　　据绿盟科技安全专家介绍，绿盟远程安全评估系统Web应用扫描模块采用了很多业内领先的技术，如模拟点击智能爬虫技术、主动挂马检测及核心调度引擎，该产品能够提供Web应用、Web 服务及支撑系统(网络层、操作系统层、数据库)等多层次全方位的安全漏洞扫描、审计、渗透测试。该系统可以应用于网站管理员进行Web上线前安全测试，上线后周期性安全评估以及企业安全管理员进行统一的风险监控与管理。