网站漏洞修补之metinfo远程SQL注入漏洞建议

2018年11月23日SINE网站安全检测平台，检测到MetInfo最新版本爆出高危漏洞，危害性较大，影响目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本，该网站漏洞产生的主要原因是MetInfo的上传代码里的参数值没有进行安全过滤，导致上传路径这里进行伪造路径，并可以插入恶意的代码，以及特殊字符进行上传图片到MetInfo的后台。

MetInfo也叫米拓企业网站建站系统，是目前大多数企业网站使用的一个建站系统，整个系统采用的是php+mysql数据库作为基础架构，支持多功能语言版本以及html静态优化，可视化简单操作，可以自己定义编写API接口，米拓官方提供免费的模板供企业网站选择、网站加速，补丁在线升级，移动端自适应设计，深受广大建站公司的喜欢。

metinfo 漏洞详情利用与metinfo 网站漏洞修复

目前最新的版本以及旧的版本，产生漏洞的原因以及文件都是图片上传代码里的一些代码以及参数值导致该漏洞的产生，在上传图片中，远程保存图片功能参数里可以对传入的远程路径值得函数变量进行修改与伪造，整个metinfo系统并没有对该变量值进行严格的检查，导致攻击者可以利用SQL注入代码进行攻击，我们来测试代码，www*****com/?%23.png加了百分比符合可以绕过远程上传图片的安全过滤，metinfo后台会向目标网址进行请求下载，进而造成漏洞攻击。

metinfo漏洞修复建议：

该网站漏洞，SINE安全已提交报告给metinfo官方，官方并没有给与积极的回应。官方也没有更新关于该metinfo漏洞的补丁，建议企业网站对上传代码这里进行注释，或者对上传的图片格式进行服务器端的安全过滤与检测，尤其GET,POST的请求方式进行检测上传特征码。也可以对图片上传的目录进行脚本权限的控制，取消执行权限，以及PHP脚本执行权限。