對泛微OA系統的網站安全檢測以及漏洞修復辦法

近日，SINE安全監測中心監控到泛微OA系統被爆出存在高危的sql注入漏洞，該移動辦公OA系統，在正常使用過程中可以偽造匿名身份來進行SQL隱碼攻擊，獲取使用者等隱私資訊，目前該網站漏洞影響較大，使用此E-cology的使用者，以及資料庫oracle都會受到該漏洞的攻擊，經過安全技術的POC安全測試，發現漏洞的利用非常簡單，危害較大，可以獲取管理員的賬號密碼，以及webshell。

該OA系統漏洞的產生原因主要是泛微裡的WorkflowCenterTreeData介面存在漏洞，在前端進行提交引數過程中沒有對其進行安全效驗與過濾，導致可以插入oracle sql語句拼接成惡意的注入語句到後端伺服器中去，造成sql注入攻擊對資料庫可以進行增，刪，讀，獲取使用者的賬號密碼，目前的安全情況，泛微官方並沒有對該漏洞進行修復，也沒有任何的緊急的安全響應，所有使用泛微的E-cology OA辦公系統都會受到攻擊。

什麼是泛微OA系統？簡單來介紹一下，該系統是以公司辦公為核心，提供快捷方便的辦公網路，所有的公司辦公都在泛微OA系統上實現，大大的提高辦公效率以及溝通效率，視覺化，電子合同，電子蓋章，存證，身份安全認證，語音話，協同辦公，給公司的運營帶來了極大的方便。該OA系統版本覆蓋70多個行業，根據行業屬性量身定製，還可以APP端協同辦公。泛微OA系統採用JAVA+oracle資料庫架構開發，國內使用該OA網站系統的公司達到上萬家，廣東省使用該系統的公司數量最多，緊跟其後的是四川省，再就是河南省，上海市等地區。

網站漏洞POC及網站安全測試

我們來看下WorkflowCenterTreeData介面的程式碼是如何寫的，如下圖：當這個介面從前端接收到傳遞過來的引數的時候，沒有對其進行詳細的安全檢測與過濾導致直接可以插入惡意的SQL隱碼攻擊語句拼接進來，傳遞到伺服器的後端執行，導致網站sql注入漏洞的產生。可以查詢當前網站的OA系統管理員賬號密碼，透過解密可以登入後臺並直接操作後臺系統，檢視公司的辦公情況，使用者的資料可導致被洩露，嚴重的可以在後臺上傳webshell，也就是網站木馬檔案，獲取linux伺服器的許可權。

關於該泛微OA網站漏洞的修復與建議：

目前官方還未釋出網站漏洞補丁，建議網站運營者對get,post方式的提交做sql注入語句的安全檢測與攔截，可以部署到nginx,以及apache前端環境當中，或者對WorkflowCenterTreeData介面的程式碼進行註釋，停止該介面的功能使用，對網站後臺地址進行更改，如果對程式碼不是太懂的話也可以找專業的網站安全公司來處理，國SINESAFE，啟明星辰，綠盟都是比較不錯的安全公司。也可以對網站的管理員賬號密碼進行更改，以數字+字母+大小寫等組合10位密碼以上來防止該網站漏洞的攻擊。