【匠心服务】突然一天晚上，一个防火墙已经上架3个月客户突...

突然一天晚上，一个防火墙已经上架3个月客户突然发来一个截图，说网页被篡改了，而且查不到日志。整个人立刻一哆嗦，不会吧，难道上次配策略的时候没有开阻断？web防护策略没有没有把这个服务器进行保护？不行，还是先安抚客户，问客户要远程方式，登到被篡改的页面和我们防火墙看一看，的确在防火墙还真是没有查到关于篡改和入侵的日志，再登录他的主页，发现很正常，再看看他有问题页面的url，发现URL都有这样的共性：/e/space/UserInfo.php?userid=3740，从3740以后的页面都是被篡改了，这是什么情况。
最后查查这个网站具体信息得出:网站使用的是 EmpireCMS 二次开发的，URL 看起来应该是一个显示已注册用户信息的地方，推断可能是由于客户二次开发的时候未删除注册模块，被恶意攻击者借用来实施篡改。再问问北研大神，研发听到后立刻就知道这是一个已经发现的问题，原来这是软件的漏洞，黑产组织利用软件的注册模块漏洞大量注册个人账号页面，并在上面发不良信息（防火墙检测到个人正常的注册信息所以不进行拦截，在这里推荐一波信服云眼与信服云盾可以进行网站扫描，有了异动会有专家7*24小时值守提醒，避免网页篡改）。
这时候和客户讲解了这个结果，并建议他关闭网站，找软件开发商进行修复，客户表示很感谢，这次工作总是结束了，送了一大口气。
下面来一波漏洞介绍：EmpireCMS 作为比较靠前的内容管理系统，导致很多大型的企业学校都对它进行二次开发，但是在用户模块未关闭或审核未开启的时候存在逻辑缺陷漏洞，由于验证机制不足，导致绕过第一步后直接批量的注册并且上传暗链，这算是黑产刷 SEO 的新方式，其目的是优化自己网站中的一些关键字在搜索引擎中的排名，或是提高自己网站的搜索引擎权重，影响范围很广。从EmpireCMS 6.0-7.2版本都会有这个问题。。
建议 EmpireCMS 修补方案如下：
1.增加 referer 验证（最简单方法，但是容易绕过）
2.设计一个单点登录，生成一个 token，放到 cookie 里。
3.服务端设置 session 记录当前到哪一步。
4.可以设置第一步成功之后得到某个值，第二步需要这个值才能操作。
二次开发的企业临时解决方案：
1.关闭会员模块
2.如果需要会员模块，请开启审核注册

PS：图片分别为被黑产注册的用户页面与EmpireCMS7.2的如何修复界面

学习了，给你点赞