前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >网站漏洞检测 泛微OA系统sql注入攻击检测与修复

网站漏洞检测 泛微OA系统sql注入攻击检测与修复

原创
作者头像
技术分享达人
修改2019-10-12 18:01:12
2K0
修改2019-10-12 18:01:12
举报
文章被收录于专栏:网站漏洞修补

近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。

该OA系统漏洞的产生原因主要是泛微里的WorkflowCenterTreeData接口存在漏洞,在前端进行提交参数过程中没有对其进行安全效验与过滤,导致可以插入oracle sql语句拼接成恶意的注入语句到后端服务器中去,造成sql注入攻击对数据库可以进行增,删,读,获取用户的账号密码,目前的安全情况,泛微官方并没有对该漏洞进行修复,也没有任何的紧急的安全响应,所有使用泛微的E-cology OA办公系统都会受到攻击。

什么是泛微OA系统?简单来介绍一下,该系统是以公司办公为核心,提供快捷方便的办公网络,所有的公司办公都在泛微OA系统上实现,大大的提高办公效率以及沟通效率,可视化,电子合同,电子盖章,存证,身份安全认证,语音话,协同办公,给公司的运营带来了极大的方便。该OA系统版本覆盖70多个行业,根据行业属性量身定制,还可以APP端协同办公。泛微OA系统采用JAVA+oracle数据库架构开发,国内使用该OA网站系统的公司达到上万家,广东省使用该系统的公司数量最多,紧跟其后的是四川省,再就是河南省,上海市等地区。

网站漏洞POC及网站安全测试

我们来看下WorkflowCenterTreeData接口的代码是如何写的,如下图:当这个接口从前端接收到传递过来的参数的时候,没有对其进行详细的安全检测与过滤导致直接可以插入恶意的SQL注入语句拼接进来,传递到服务器的后端执行,导致网站sql注入漏洞的产生。可以查询当前网站的OA系统管理员账号密码,通过解密可以登录后台并直接操作后台系统,查看公司的办公情况,用户的数据可导致被泄露,严重的可以在后台上传webshell,也就是网站木马文件,获取linux服务器的权限。

关于该泛微OA网站漏洞的修复与建议:

目前官方还未发布网站漏洞补丁,建议网站运营者对get,post方式的提交做sql注入语句的安全检测与拦截,可以部署到nginx,以及apache前端环境当中,或者对WorkflowCenterTreeData接口的代码进行注释,停止该接口的功能使用,对网站后台地址进行更改,如果对代码不是太懂的话也可以找专业的网站安全公司来处理,国SINESAFE,启明星辰,绿盟都是比较不错的安全公司。也可以对网站的管理员账号密码进行更改,以数字+字母+大小写等组合10位密码以上来防止该网站漏洞的攻击。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档