专栏首页网站漏洞修补网站漏洞修补之metinfo远程SQL注入漏洞建议
原创

网站漏洞修补之metinfo远程SQL注入漏洞建议

2018年11月23日SINE网站安全检测平台,检测到MetInfo最新版本爆出高危漏洞,危害性较大,影响目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,该网站漏洞产生的主要原因是MetInfo的上传代码里的参数值没有进行安全过滤,导致上传路径这里进行伪造路径,并可以插入恶意的代码,以及特殊字符进行上传图片到MetInfo的后台。

MetInfo也叫米拓企业网站建站系统,是目前大多数企业网站使用的一个建站系统,整个系统采用的是php+mysql数据库作为基础架构,支持多功能语言版本以及html静态优化,可视化简单操作,可以自己定义编写API接口,米拓官方提供免费的模板供企业网站选择、网站加速,补丁在线升级,移动端自适应设计,深受广大建站公司的喜欢。

metinfo 漏洞详情利用与metinfo 网站漏洞修复

目前最新的版本以及旧的版本,产生漏洞的原因以及文件都是图片上传代码里的一些代码以及参数值导致该漏洞的产生,在上传图片中,远程保存图片功能参数里可以对传入的远程路径值得函数变量进行修改与伪造,整个metinfo系统并没有对该变量值进行严格的检查,导致攻击者可以利用SQL注入代码进行攻击,我们来测试代码,www*****com/?%23.png加了百分比符合可以绕过远程上传图片的安全过滤,metinfo后台会向目标网址进行请求下载,进而造成漏洞攻击。

metinfo漏洞修复建议:

该网站漏洞,SINE安全已提交报告给metinfo官方,官方并没有给与积极的回应。官方也没有更新关于该metinfo漏洞的补丁,建议企业网站对上传代码这里进行注释,或者对上传的图片格式进行服务器端的安全过滤与检测,尤其GET,POST的请求方式进行检测上传特征码。也可以对图片上传的目录进行脚本权限的控制,取消执行权限,以及PHP脚本执行权限。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 针对于客户网站被攻击而进行的渗透测试服务分享

    客户网站前端时间被攻击,网站被劫持到了赌bo网站上去,通过朋友介绍找到我们SINESAFE做网站的安全防护,我们随即对客户网站进行了全面的渗透测试,包括了网站的...

    技术分享达人
  • 解决ecshop漏洞修补针对于外贸网站的漏洞修复

    由于8月份的ECSHOP通杀漏洞被国内安全厂商爆出后,众多使用ecshop程序源码的用户大面积的受到了网站被篡改,最明显的就是外贸站点被跳转到一些仿冒的网站上去...

    技术分享达人
  • 网站安全检测防护报告

    网站安全仍然是目前互联网网络安全的最大安全风险来源第一,包括现有的PC网站,移动端网站,APP,微信API接口小程序的流量越来越多,尤其移动端的访问超过了单独的...

    技术分享达人
  • 安全漏洞公告

    1 Apache Struts2 CVE-2014-0094(S2-020)漏洞修补绕过漏洞 Apache Struts2 CVE-2014-0094(S...

    安恒信息
  • 排序需要移动几个数

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    喜欢ctrl的cxk
  • DeDeCMS v5.7 密码修改漏洞分析

    作者:LoRexxar'@知道创宇404实验室 0x01 背景 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理...

    Seebug漏洞平台
  • 使用MongoDB提高企业的IT性能

    本文的目标读者是正在为他们的IT系统寻找开源应用的开发人员和架构师。作者描述了一个实际的企业情况,他们在工作流程中采用了MongoDB来加速流程。

    chokwin
  • 新一代IT技术与架构,合力打造数字化健康服务市场

    目前对于大部分的医疗企业来说,在保证当前业务系统高效稳定运行的情况下,通过简单、低成本的方式逐步推动互联网下的新业务模式的渗入式发展,才是医疗行业互联网化转型...

    数据和云01
  • day64-Django进阶-部分模板语言以及母版的继承

    少年包青菜
  • 从互联网+到智慧智能,医疗行业的发展到底有多快?

    “人民健康是民族昌盛和国家富强的重要标志。要完善国民健康政策,为人民群众提供全方位全周期健康服务。”

    用户1677530

扫码关注云+社区

领取腾讯云代金券