對泛微OA系統的網站安全檢測以及漏洞修復辦法
近日,SINE安全監測中心監控到泛微OA系統被爆出存在高危的sql注入漏洞,該移動辦公OA系統,在正常使用過程中可以偽造匿名身份來進行SQL隱碼攻擊,獲取使用者等隱私資訊,目前該網站漏洞影響較大,使用此E-cology的使用者,以及資料庫oracle都會受到該漏洞的攻擊,經過安全技術的POC安全測試,發現漏洞的利用非常簡單,危害較大,可以獲取管理員的賬號密碼,以及webshell。
該OA系統漏洞的產生原因主要是泛微裡的WorkflowCenterTreeData介面存在漏洞,在前端進行提交引數過程中沒有對其進行安全效驗與過濾,導致可以插入oracle sql語句拼接成惡意的注入語句到後端伺服器中去,造成sql注入攻擊對資料庫可以進行增,刪,讀,獲取使用者的賬號密碼,目前的安全情況,泛微官方並沒有對該漏洞進行修復,也沒有任何的緊急的安全響應,所有使用泛微的E-cology OA辦公系統都會受到攻擊。
什麼是泛微OA系統?簡單來介紹一下,該系統是以公司辦公為核心,提供快捷方便的辦公網路,所有的公司辦公都在泛微OA系統上實現,大大的提高辦公效率以及溝通效率,視覺化,電子合同,電子蓋章,存證,身份安全認證,語音話,協同辦公,給公司的運營帶來了極大的方便。該OA系統版本覆蓋70多個行業,根據行業屬性量身定製,還可以APP端協同辦公。泛微OA系統採用JAVA+oracle資料庫架構開發,國內使用該OA網站系統的公司達到上萬家,廣東省使用該系統的公司數量最多,緊跟其後的是四川省,再就是河南省,上海市等地區。
網站漏洞POC及網站安全測試
我們來看下WorkflowCenterTreeData介面的程式碼是如何寫的,如下圖:當這個介面從前端接收到傳遞過來的引數的時候,沒有對其進行詳細的安全檢測與過濾導致直接可以插入惡意的SQL隱碼攻擊語句拼接進來,傳遞到伺服器的後端執行,導致網站sql注入漏洞的產生。可以查詢當前網站的OA系統管理員賬號密碼,透過解密可以登入後臺並直接操作後臺系統,檢視公司的辦公情況,使用者的資料可導致被洩露,嚴重的可以在後臺上傳webshell,也就是網站木馬檔案,獲取linux伺服器的許可權。
關於該泛微OA網站漏洞的修復與建議:
目前官方還未釋出網站漏洞補丁,建議網站運營者對get,post方式的提交做sql注入語句的安全檢測與攔截,可以部署到nginx,以及apache前端環境當中,或者對WorkflowCenterTreeData介面的程式碼進行註釋,停止該介面的功能使用,對網站後臺地址進行更改,如果對程式碼不是太懂的話也可以找專業的網站安全公司來處理,國SINESAFE,啟明星辰,綠盟都是比較不錯的安全公司。也可以對網站的管理員賬號密碼進行更改,以數字+字母+大小寫等組合10位密碼以上來防止該網站漏洞的攻擊。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2659693/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站漏洞檢測對漏洞檢測修復方案網站
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- apache網站漏洞修復解決辦法Apache網站
- phpStudy poc漏洞復現以及漏洞修復辦法PHP
- ecshop漏洞修復以及如何加固ecshop網站安全網站
- 網站漏洞修復對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 修復網站漏洞對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 滲透測試對網站漏洞修復執行命令重點檢查網站
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- PrestaShop網站漏洞修復如何修復REST網站
- 網站漏洞修復公司處理網站被篡改跳轉到其他網站的解決辦法網站
- 網站滲透測試安全檢測漏洞網站
- 網站上傳漏洞掃描與檢測 以及webshell解決辦法網站Webshell
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 滲透測試公司 對於越權漏洞的檢測與修復
- 網站漏洞測試php程式碼修復詳情網站PHP
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 網站被攻擊 如何修復網站漏洞網站
- thinkcmf 網站最新漏洞修復方法網站
- 網站漏洞修復服務商對繞過認證漏洞的探討網站
- semcms網站漏洞挖掘過程與安全修復防範網站
- 網站安全防護-PHP反序列化漏洞修復網站PHP
- 什麼是網站系統安全的滲透檢測?網站
- 2019年網站漏洞檢測報告安全分析網站
- 靜態程式碼檢測工具Wukong對log4J中的漏洞檢測、分析及漏洞修復
- 滲透測試對檔案包含漏洞網站檢測網站
- 網站被黑該怎麼修復漏洞網站
- 框架網站漏洞修復防護方法框架網站
- 我的網站被黑了,該如何排除漏洞並修復安全問題網站
- 網站漏洞該如何修復 加強伺服器的安全防護網站伺服器
- 用APP滲透測試來查詢網站被駭客攻擊的根源以及漏洞修復APP網站
- 滲透測試網站安全漏洞檢測大體方法網站
- 網站漏洞檢測工具對CSRF攻擊詳情網站
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站