10秒后自動關閉
FastAdmin最新XSS漏洞(CNVD-2025-03743)

FastAdmin是一款基于ThinkPHP的開源后臺管理框架,專為快速開發(fā)設計。它結合了Bootstrap和AdminLTE技術,提供現(xiàn)代化的界面體驗。作為一個輕量級且高效的框架,F(xiàn)astAdmin注重代碼的簡潔性和易用性,幫助開發(fā)者更專注于業(yè)務邏輯。其開源特性允許自由獲取、使用和修改源代碼,非常適合需要快速搭建后臺管理系統(tǒng)的項目。同時,F(xiàn)astAdmin擁有一個活躍的社區(qū),為開發(fā)者提供強大的支持和豐富的資源。


國家信息安全漏洞共享平臺于2025-02-14公布該程序存在代碼注入漏洞。

漏洞編號:CNVD-2025-03743

影響產品:FastAdmin V1.5.2.20240906

漏洞級別

公布時間:2025-02-14

漏洞描述:攻擊者可利用該漏洞獲取用戶cookie等敏感信息,從而使用欺騙方式“合法”進入網站后臺。


解決辦法:

目前廠商尚未發(fā)布修復補丁?梢允褂谩護衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護”模塊來解決該XSS跨站腳本攻擊漏洞,不止對該漏洞有效,對網站所有的SQL注入漏洞和XSS跨腳本漏洞都可以防護。



1、SQL注入防護和XSS跨站攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖一)除了攔截SQL注入攻擊,還可以攔截XSS跨站腳本攻擊(如圖二),一并解決FastAdmin的其他安全漏洞,攔截效果如圖三。


FastAdmin防SQL注入模塊

(圖一:FastAdminSQL注入模塊)



FastAdmin防XSS跨站腳本攻擊

(圖二:FastAdminXSS跨站腳本攻擊)



FastAdmin攔截SQL注入效果

(圖三:FastAdmin攔截SQL注入效果)



2、防篡改保護和后臺保護

如果對安全要求較高,還可以使用『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護”模塊,對FastAdmin做防篡改保護。

在“篡改防護-添加CMS防護”(如圖四)。選擇網站目錄,安全模板選擇“FastAdmin安全模板”,并填寫正確的后臺地址,點擊“確定”按鈕,就添加好了。

護衛(wèi)神.防入侵系統(tǒng)內置有FastAdmin的篡改防護規(guī)則,只需簡單設置即可解決,非常方便!

添加FastAdmin防篡改規(guī)則

(圖四:添加FastAdmin防篡改規(guī)則)



設置好以后,防入侵系統(tǒng)就會對后臺進行保護,后期訪問時需要先驗證授權密碼(如圖五)

網站后臺保護

(圖五:訪問后臺需要輸入授權密碼)


只有輸入正確的密碼才能繼續(xù)訪問(如圖六)

FastAdmin后臺登錄

(圖六:FastAdmin后臺登錄)



【護衛(wèi)神.防入侵系統(tǒng),擁有上百項安全防護模塊,點此查看演示】