专栏首页网站漏洞修补MetInfo最新网站漏洞如何修复以及网站安全防护
原创

MetInfo最新网站漏洞如何修复以及网站安全防护

metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞,可以直接拿到网站管理员的权限,网站漏洞影响范围较广,包括目前最新的metinfo版本都会受到该漏洞的攻击,该metinfo漏洞产生的主要原因是可以绕过metinfo的安全过滤函数,导致可以直接插入恶意的sql注入语句执行到网站的后端里去,在数据库里执行管理员操作的一些功能,甚至可以直接sql注入到首页文件index.php去获取到管理员的账号密码,进而登录后台去拿到整个网站的权限。

metinfo程序企业网站被入侵的症状是首页文件被篡改,被替换增加了一些加密的代码如图:网站在各大搜索引擎中的快照内容被修改,而且打开网站后会被跳转到一些赌bo网站,严重影响客户访问公司企业网站的信誉度。

metinfo是国内用的比较的一个建站系统,许多中小企业都在使用这套cms系统,简单,快捷,可视化,是新手都可以设计网页的一个系统,超强大,这次漏洞影响范围较大,9月26号发布的最新版都有这个网站漏洞,SINE安全预计接下来的时间将会有大量的企业网站被黑,请给位网站运营者尽快的做好网站漏洞修复工作,以及网站的安全加固防护。

metinfo使用了很多年了,开发语言是PHP脚本语言开发的,数据库采用mysql数据库,开发简单快捷,从之前就不断的爆出漏洞,什么远程代码执行漏洞,管理员账号密码篡改漏洞,XSS跨站等等。

关于该metinfo漏洞的详情与漏洞的修复如下:

这些网站漏洞的本质问题是由于网站根目录下的app文件下的system目录里的message代码,其中有段message的sql执行代码是select * from {$M[table][config]} where lang ='{$M[form][lang]}' and name= 'met_fdok' and columnid = {$M[form][id]},这行代码里没有单引号,导致可以进行sql注入,插入恶意的参数去绕过metinfo自身的安全过滤系统,加上inadmin这个值没有进行强制的转换与定义,导致sql过滤函数可以把用户输入的特殊字符都给删除,利用index首页文件的domessage的方式去定义了inadmin变量,进而进行了sql注入。目前影响的metinfo版本是,Metinfo 6.1.3 MetInfo 6.1.2,MetInfo 6.1.1,MetInfo 5.3.4 5.3.8,请管理员尽快升级最新版本,修复网站的漏洞,或者在代码里自定义部署sql注入拦截系统,做好网站安全防护。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • MetInfo漏洞如何修复以及网站安全防护

    metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞,可以直接拿到网站管理员的权限,网站漏洞影响范围较广,包括目前最新的metinfo版本都会受到...

    技术分享达人
  • 网站漏洞检测对php注入漏洞防护建议

    近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻...

    技术分享达人
  • 网站安全对被植入webshell后门 该怎么解决

    昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密...

    技术分享达人
  • MetInfo漏洞如何修复以及网站安全防护

    metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞,可以直接拿到网站管理员的权限,网站漏洞影响范围较广,包括目前最新的metinfo版本都会受到...

    技术分享达人
  • django celery的分布式异步之路(二) 高并发

    当你跑通了前面一个demo,博客地址:http://www.cnblogs.com/kangoroo/p/7299920.html,那么你的分布式异步之旅已经起...

    用户1225216
  • ceph分布式存储-检查集群健康状态

    元数据服务器为 Ceph 文件系统提供元数据服务,不过在当前生产环境中并未部署 MDS 。

    Lucien168
  • 真正掌握vuex的使用方法(七)----完结

    之前的文章当中,我们把所有的数据都存放到了 vuex文件夹当中的store.js当中。但随着将来项目的复杂度增大,共享的状态越来越多,越来越复杂!在这个时候我们...

    用户1272076
  • 机器学习人工学weekly-2018/5/27

    Prefrontal cortex as a meta-reinforcement learning system

    windmaple
  • php利用ZipArchive类操作文件的实例

    ZipArchive类是专门用于文件的压缩与解压操作的类,通过压缩文件可以达到节省磁盘空间的目的,并且压缩文件体积更小,便于网络传输。

    砸漏
  • 返工潮之下,哪些城市面临最大的疫情防扩压力?

    “您购买的列车因故停运,需登录12306按规定办理退票手续。”小贺返工的高铁又一次被取消,别的车次或是停开或是满员,她不得不又一次推迟返回上海的日期。

    Rocky0429

扫码关注云+社区

领取腾讯云代金券