Libsys漏洞或致百所高校图书馆被黑 360网站安全独家修复

近日，360网站安全“库带计划”收集到一个libsys图书馆系统的注入漏洞。该漏洞可使黑客获取到数据库信息，恶意篡改数据，甚至造成“拖库”等危害。360网站安全已第一时间告知libsys官方，并向360网站安全检测用户发出告警。

libsys是江苏汇文软件公司推出的一款基于B/S架构的图书馆自动化系统，主要服务于国内各大院校的图书馆，国内42%的“211工程大学”和诸多的“985工程大学”均采用了libsys图书馆管理系统。

图：libsys图书馆管理系统在高校中占比

“库带计划”安全技术高手在分析时发现，该系统asord_marc_record.php文件中的某个参数，由于没有进行安全过滤会形成注入漏洞，从而让黑客能够轻松获取到敏感信息，进而可以对数据进行恶意篡改，甚至会造成“拖库”等危险。统计显示，国内近百所高校图书馆系统存在此漏洞，面临遭到黑客攻击的威胁。

图：libsys系统漏洞

随后，360网站安全中心第一时间联系了libsys官方，并及时增加了相应的防护规则。360网站安全提醒广大高校及时联系libsys官方并升级最新系统补丁，同时加入360网站卫士，进一步做好漏洞防护措施。

据了解，“库带计划”是360网站安全今年3月份推出重金悬赏技术高手活动，旨在保护广大网站安全，提升360网站安全防御漏洞的能力。目前已经协助ShopEx、Discuz!、ECShop、ShopEX、PHPWind、PHPCMS等数十余个知名建站和IT系统修复了安全漏洞，降低了近百万家网站和机构被黑客攻击的风险。

360网站安全总监赵武表示，“库带计划”能够帮助大多数建站程序快速修复漏洞，及时推出补丁保护网站用户的数据安全。他表示，面对日益泛滥网站攻击威胁，广大站长可以部署免费的“360网站卫士”，既可以有效防范黑客攻击，更能够为网站访问加速等实用功能。