当前位置:首页 >  IDC >  安全 >  正文

如何修复网站漏洞之metinfo远程SQL注入漏洞

 2018-11-24 14:32  来源: 用户投稿   我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

2018年11月23日SINE网站安全检测平台,检测到MetInfo最新版本爆出高危漏洞,危害性较大,影响目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,该网站漏洞产生的主要原因是MetInfo的上传代码里的参数值没有进行安全过滤,导致上传路径这里进行伪造路径,并可以插入恶意的代码,以及特殊字符进行上传图片到MetInfo的后台。

MetInfo也叫米拓企业网站建站系统,是目前大多数企业网站使用的一个建站系统,整个系统采用的是php+mysql数据库作为基础架构,支持多功能语言版本以及html静态优化,可视化简单操作,可以自己定义编写API接口,米拓官方提供免费的模板供企业网站选择、网站加速,补丁在线升级,移动端自适应设计,深受广大建站公司的喜欢。

metinfo 漏洞详情利用与metinfo 网站漏洞修复

目前最新的版本以及旧的版本,产生漏洞的原因以及文件都是图片上传代码里的一些代码以及参数值导致该漏洞的产生,在上传图片中,远程保存图片功能参数里可以对传入的远程路径值得函数变量进行修改与伪造,整个metinfo系统并没有对该变量值进行严格的检查,导致攻击者可以利用SQL注入代码进行攻击,我们来测试代码,www*****com/?%23.png加了百分比符合可以绕过远程上传图片的安全过滤,metinfo后台会向目标网址进行请求下载,进而造成漏洞攻击。

metinfo漏洞修复建议:

该网站漏洞,SINE安全已提交报告给metinfo官方,官方并没有给与积极的回应。官方也没有更新关于该metinfo漏洞的补丁,建议企业网站对上传代码这里进行注释,或者对上传的图片格式进行服务器端的安全过滤与检测,尤其GET,POST的请求方式进行检测上传特征码。也可以对图片上传的目录进行脚本权限的控制,取消执行权限,以及PHP脚本执行权限。

本文来源:www.sinesafe.com

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: websafe    /    文章:148篇

相关文章

  • 迪普科技:慧眼识漏洞之【后门漏洞】

    后门是一种绕过认证或系统加密来获取系统访问权的方法。有时开发人员会出于某原因,有意或无意为自己的程序构建后门程序,但是,如果这些后门被其他人发现,那么它就成了安全风险

    标签:
    安全漏洞
  • 网站php代码漏洞挖掘修复办法

    国内学习漏洞挖掘的习惯所谓奠定基础,学习各种编程书籍,然后学习漏洞挖掘,问题是不可能控制学习编程的程度。其次,外国学生通常必须学习这一过程,初学

  • Apache SkyWalking 漏洞安全风险公告

    ApacheSkyWalking是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。

    标签:
    安全漏洞
  • 用户小心!火绒监测到近期漏洞攻击频次均值上涨282%

    火绒安全团队发出风险提示,根据“火绒威胁情报系统”监测,近期有漏洞攻击在大面积、高频次的爆发。火绒拦截数据显示,自7月13日至23日期间,漏洞攻击次数较以往均值上涨282%,其中针对服务器系统的攻击占比超80%。

    标签:
    安全漏洞
  • 迪普科技荣获“2019年度漏洞报送专项奖”

    近日,国家信息安全漏洞库(CNNVD)根据《国家信息安全漏洞库(CNNVD)技术支撑单位计划指南》相关规定,对现有103家技术支撑单位2019年度支撑贡献情况进行了总结评价。迪普科技作为国家信息安全漏洞库(CNNVD)一级技术支撑单位,积极配合CNNVD完成漏洞报送、应急响应、

    标签:
    安全漏洞

热门排行

信息推荐

扫一扫关注最新创业资讯