MetInfo最新网站漏洞如何修复以及网站安全防护

metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞,可以直接拿到网站管理员的权限,网站漏洞影响范围较广,包括目前最新的metinfo版本都会受到该漏洞的攻击,该metinfo漏洞产生的主要原因是可以绕过metinfo的安全过滤函数,导致可以直接插入恶意的sql注入语句执行到网站的后端里去,在数据库里执行管理员操作的一些功能,甚至可以直接sql注入到首页文件index.php去获取到管理员的账号密码,进而登录后台去拿到整个网站的权限。

metinfo程序企业网站被入侵的症状是首页文件被篡改,被替换增加了一些加密的代码如图:网站在各大搜索引擎中的快照内容被修改,而且打开网站后会被跳转到一些赌bo网站,严重影响客户访问公司企业网站的信誉度。

metinfo是国内用的比较的一个建站系统,许多中小企业都在使用这套cms系统,简单,快捷,可视化,是新手都可以设计网页的一个系统,超强大,这次漏洞影响范围较大,9月26号发布的最新版都有这个网站漏洞,SINE安全预计接下来的时间将会有大量的企业网站被黑,请给位网站运营者尽快的做好网站漏洞修复工作,以及网站的安全加固防护。

metinfo使用了很多年了,开发语言是PHP脚本语言开发的,数据库采用mysql数据库,开发简单快捷,从之前就不断的爆出漏洞,什么远程代码执行漏洞,管理员账号密码篡改漏洞,XSS跨站等等。

关于该metinfo漏洞的详情与漏洞的修复如下:

这些网站漏洞的本质问题是由于网站根目录下的app文件下的system目录里的message代码,其中有段message的sql执行代码是select * from {$M[table][config]} where lang ='{$M[form][lang]}' and name= 'met_fdok' and columnid = {$M[form][id]},这行代码里没有单引号,导致可以进行sql注入,插入恶意的参数去绕过metinfo自身的安全过滤系统,加上inadmin这个值没有进行强制的转换与定义,导致sql过滤函数可以把用户输入的特殊字符都给删除,利用index首页文件的domessage的方式去定义了inadmin变量,进而进行了sql注入。目前影响的metinfo版本是,Metinfo 6.1.3 MetInfo 6.1.2,MetInfo 6.1.1,MetInfo 5.3.4 5.3.8,请管理员尽快升级最新版本,修复网站的漏洞,或者在代码里自定义部署sql注入拦截系统,做好网站安全防护。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏运维技术迷

DNS服务器4013警告信息的解决方法

今天例行维护域控,发现一直出现DNS无法启动,一直在提示4013,感觉很不可思议。对比另外一台辅助域控的设置,都没有问题。只好一步一步的来细致的检查,终于被我找...

36660
来自专栏编程微刊

在本地运行查看github上的开源项目

28130
来自专栏CaiRui

http和www服务基础知识

一.http www端口: http协议www服务的默认端口是:80 加密的www服务,http默认端口:443(网银,支付的时候) 二.用户访问网站基本流程:...

22770
来自专栏Pythonista

软件目录结构规范

12920
来自专栏PHP技术大全

grafana+prometheus快速搭建MySql监控系统实践

对于LNMP环境下的开发者来说,mysql是非常重要的一环,同时mysql的性能监控也是开发者所需要关注的一环;如果大家使用阿里云的RDS会感觉到其监控功能非常...

24430
来自专栏涤生的博客

服务框架之注册中心,你不知道的内幕

前一篇服务框架技术栈粗略分析了服务框架需要的各个核心模块,首先提到的就是注册中心,注册中心实现了服务注册和发现的功能,在服务框架中也发挥着重要的作用。今天主要围...

13620
来自专栏淡定的博客

windows下WorkerMan实现简单的多人在线聊天

Workerman是一款纯PHP开发的开源高性能的PHP socket 服务框架。

1.1K10
来自专栏大数据人工智能

小白请点进来!零基础搭建Hadoop大数据处理环境

由于hadoop需要运行在Linux环境中,而且是分布式的,因此个人学习只能装虚拟机,本文都以VMware Workstation为准,安装CentOS7,具体...

524100
来自专栏企鹅号快讯

g4e基础篇#4 了解Git存储库

Git 存储库看上去就是一个文件夹,只是在这个文件夹中不仅仅保存了所有文件的当前版本,也同时保存了所有的历史记录,这些额外的信息都保存在当前文件夹下面的.git...

24660
来自专栏weixuqin 的专栏

Nginx 进行性能配置

  总所周知,网络上我们购买的服务器的性能各不相同,如果采用 Nginx 的默认配置的话,无法将服务器的全部性能优势发挥出来,我们应该选择适合自己需求的配置。

10220

扫码关注云+社区

领取腾讯云代金券