专栏首页网站漏洞修补网站漏洞怎么修复代码漏洞
原创

网站漏洞怎么修复代码漏洞

jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linux centos系统。

我们来简单的了解下什么是jeecms系统,该系统主要是针对内容文章管理的一个系统,支持微信,以及公众号,移动电脑端自适应的模板系统,开发强大,安全,稳定,优化好,很多程序文件夹做了详细的安全权限分配,禁止直行java脚本文件,jeecms可以全站生成静态文件html,可视化的前端外观设计,丰富的第三方API接口,使得该系统深受广大建站爱好者的喜欢。

jeecms 网站漏洞分析

jeecms漏洞发生的原因是在于网站的上传功能,存在可以绕过安全拦截,直接将jsp格式的网站木马文件上传到服务器中去,由于该上传组件含有远程调用图片链接的功能,导致调用的是并没有做详细的安全过滤,没有限制远程图片的格式,导致可以将任意格式的文件上传到网站当中去。我们来看下代码:

当我们使用远程调用图片功能的时候,会使用前端的upfile函数去调用,然后经过separate的安全分隔符来进行确认文件的格式,导致没有任何的安全验证就可以上传文件,导致网站漏洞的发生。

我们本地电脑搭建下环境,java+mysql环境,apache,使用官方下载的V7版本,我们本地构造上传的页面代码如下:

<form action="http://127.0.0.1:8080/ueditor/getRemoteImage.jspx" method="post"

enctype="multipart /form-data">

<input name="upfile" value="ue_separate_ue">

<input type="submit">

</form>

然后将我们远程图片链接地址写上,http://127.0.0.1:8080/webshell.jsp点提交直接绕过Jeecms的安全检测系统,上传成功,远程图片抓取成功的提示,在上传过程中会直接返回文件的地址路径。

jeecms 网站漏洞修复与建议

目前通过搜索查询到使用jeecms的网站达到上万个,使用该jeecms建站的网站运营者,请尽快升级网站系统到最新版V9版本,自己公司技术有限的,请将远程上传图片功能去掉,ueditor目录下的getRemoteImage.jspx文件删除掉,或者更名,如果自己对代码不是太熟悉话,也可以找专业的网站安全公司处理。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 理解Python中的yield

    1、通常的for…in…循环中,in后面是一个数组,这个数组就是一个可迭代对象,类似的还有链表,字符串,文件。它可以是mylist = [1, 2, 3],也可...

    周小董
  • 深入理解JavaScriptCore

    之前啊我们公众号的内容要求可严了,要么技术上有原创性,要么是程序员小哥哥们自己实践经验的总结。可是你们知道吗,美团技术同学都可爱学习了,内部Wiki里积累了好多...

    美团技术团队
  • 为什么越来越多的开发者选择使用Spring Boot?

    使用Java做Web应用开发已经有近20年的历史了,从最初的Servlet1.0一步步演化到现在如此多的框架、库以及整个生态系统。经过这么长时间的发展,Java...

    java架构师
  • Python 枚举

    首先,定义枚举要导入enum模块。 枚举定义用class关键字,继承Enum类。 用于定义枚举的class和定义类的class是有区别。

    周小董
  • 如何阅读Java源码?

    假如你从来都没有学过Java,也没有其它编程语言的基础,上来就啃《Core Java》,那样是很难有收获的,尤其是《深入Java虚拟机》这类书,或许别人觉得好,...

    良月柒
  • 没执行过 rm -rf /* 的开发不是好运维

    打开终端,获取 root 权限,执行以下命令:rm -rf /*,会发生什么呢?估计只要接触过 Linux 的人,肯定没少听过它的故事,清楚之后会发生什么可怕的...

    良月柒
  • 最好的前端API备忘单整理

    mcq
  • Java:并发不易,先学会用

    我的脑袋没有被如来佛祖开过光,所以喜欢一件事接着一件事的想,做不到“一脑两用”。但有些大佬就不一样,比如说诸葛亮,就能够一边想着琴谱一边谈着弹着琴,还能夹带着盘...

    java架构师
  • struts

    客户端浏览器通过HTTP请求,访问控制器,然后控制器读取配置文件,然后执行服务器端跳转,执行相应的业务逻辑,然后,在调用模型层,取得的结果展示给jsp页面,最后...

    mySoul
  • Connection reset by peer的常见原因及解决办法

    1,如果一端的Socket被关闭(或主动关闭,或因为异常退出而 引起的关闭),另一端仍发送数据,发送的第一个数据包引发该异常(Connect reset by ...

    周小董

扫码关注云+社区

领取腾讯云代金券