怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補
2018年11月23日SINE網站安全檢測平臺,檢測到MetInfo最新版本爆出高危漏洞,危害性較大,影響目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,該網站漏洞產生的主要原因是MetInfo的上傳程式碼裡的引數值沒有進行安全過濾,導致上傳路徑這裡進行偽造路徑,並可以插入惡意的程式碼,以及特殊字元進行上傳圖片到MetInfo的後臺。
MetInfo也叫米拓企業網站建站系統,是目前大多數企業網站使用的一個建站系統,整個系統採用的是php+mysql資料庫作為基礎架構,支援多功能語言版本以及html靜態優化,視覺化簡單操作,可以自己定義編寫API介面,米拓官方提供免費的模板供企業網站選擇、網站加速,補丁線上升級,移動端自適應設計,深受廣大建站公司的喜歡。
metinfo 漏洞詳情利用與metinfo 網站漏洞修復
目前最新的版本以及舊的版本,產生漏洞的原因以及檔案都是圖片上傳程式碼裡的一些程式碼以及引數值導致該漏洞的產生,在上傳圖片中,遠端儲存圖片功能引數裡可以對傳入的遠端路徑值得函式變數進行修改與偽造,整個metinfo系統並沒有對該變數值進行嚴格的檢查,導致攻擊者可以利用SQL隱碼攻擊程式碼進行攻擊,我們來測試程式碼,www*****com/?%23.png加了百分比符合可以繞過遠端上傳圖片的安全過濾,metinfo後臺會向目標網址進行請求下載,進而造成漏洞攻擊。
metinfo漏洞修復建議:
該網站漏洞,SINE安全已提交報告給metinfo官方,官方並沒有給與積極的回應。官方也沒有更新關於該metinfo漏洞的補丁,建議企業網站對上傳程式碼這裡進行註釋,或者對上傳的圖片格式進行伺服器端的安全過濾與檢測,尤其GET,POST的請求方式進行檢測上傳特徵碼。也可以對圖片上傳的目錄進行指令碼許可權的控制,取消執行許可權,以及PHP指令碼執行許可權。
相關文章
- 網站漏洞修補之ECshop4.0跨站指令碼攻擊修復網站指令碼
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 修復SQL隱碼攻擊漏洞 兩種方法SQL
- 網站被攻擊 如何修復網站漏洞網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- phpcms網站漏洞修復遠端程式碼寫入快取漏洞利用PHP網站快取
- 網站被黑該怎麼修復漏洞網站
- PrestaShop網站漏洞修復如何修復REST網站
- metinfo sql注入漏洞修復建議與防範辦法SQL
- 齊博cms最新SQL隱碼攻擊網站漏洞可遠端執行程式碼提權SQL網站行程
- 【網路安全】什麼是SQL隱碼攻擊漏洞?SQL隱碼攻擊的特點!SQL
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- thinkcmf 網站最新漏洞修復方法網站
- Rails 3爆SQL隱碼攻擊漏洞AISQL
- 安全漏洞在網路攻擊中影響多大?勒索組織趁漏洞修補時機發起攻擊
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- 網站被攻擊怎麼辦 如何查詢網站漏洞攻擊源網站
- 微信小程式漏洞怎麼修復微信小程式
- 框架網站漏洞修復防護方法框架網站
- PHP常見漏洞(1)–SQL隱碼攻擊PHPSQL
- 網站漏洞測試php程式碼修復詳情網站PHP
- 網站程式碼漏洞審計挖掘與修復方法網站
- Django之SQL隱碼攻擊漏洞復現(CVE-2021-35042)DjangoSQL
- 修復跨站攻擊 phpPHP
- apache網站漏洞修復解決辦法Apache網站
- 如何做好防護SQL隱碼攻擊漏洞SQL
- 安全漏洞問題6:SQL隱碼攻擊SQL
- WordPress SQL隱碼攻擊漏洞與提權分析SQL
- SQL隱碼攻擊漏洞測試工具比較SQL
- 網站漏洞修復服務商關於越權漏洞分析網站
- 高危漏洞!Apache Log4j 遠端程式碼執行漏洞(附修復建議)Apache