当前位置:首页 >  站长 >  建站经验 >  正文

网站漏洞如何修复jeecms网站程序

 2019-04-19 16:09  来源:A5用户投稿  我来投稿

  各种互联网项目,新手可操作,几乎都是0门槛

jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linux centos系统。

我们来简单的了解下什么是jeecms系统,该系统主要是针对内容文章管理的一个系统,支持微信,以及公众号,移动电脑端自适应的模板系统,开发强大,安全,稳定,优化好,很多程序文件夹做了详细的安全权限分配,禁止直行java脚本文件,jeecms可以全站生成静态文件html,可视化的前端外观设计,丰富的第三方API接口,使得该系统深受广大建站爱好者的喜欢。

jeecms 网站漏洞分析

jeecms漏洞发生的原因是在于网站的上传功能,存在可以绕过安全拦截,直接将jsp格式的网站木马文件上传到服务器中去,由于该上传组件含有远程调用图片链接的功能,导致调用的是并没有做详细的安全过滤,没有限制远程图片的格式,导致可以将任意格式的文件上传到网站当中去。我们来看下代码:

当我们使用远程调用图片功能的时候,会使用前端的upfile函数去调用,然后经过separate的安全分隔符来进行确认文件的格式,导致没有任何的安全验证就可以上传文件,导致网站漏洞的发生。

我们本地电脑搭建下环境,java+mysql环境,apache,使用官方下载的V7版本,我们本地构造上传的页面代码如下:

enctype="multipart /form-data">

然后将我们远程图片链接地址写上,http://127.0.0.1:8080/webshell.jsp点提交直接绕过Jeecms的安全检测系统,上传成功,远程图片抓取成功的提示,在上传过程中会直接返回文件的地址路径。

jeecms 网站漏洞修复与建议

目前通过搜索查询到使用jeecms的网站达到上万个,使用该jeecms建站的网站运营者,请尽快升级网站系统到最新版V9版本,自己公司技术有限的,请将远程上传图片功能去掉,ueditor目录下的getRemoteImage.jspx文件删除掉,或者更名,如果自己对代码不是太熟悉话,也可以找专业的网站安全公司处理。

责任编辑:A5西瓜   /   作者:sinesafe

相关标签
安全漏洞
网站漏洞

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 苹果cms网站漏洞修复解决办法

    苹果cms系统,是目前很多电影网站都在使用的一套网站系统,开源,免费,扩展性较好,支持一键采集,伪静态化,高并发的同时承载,获得的很多站长的喜欢,于近日被网站安全检测发现,maccms存在网站漏洞,sql注入盲射获取数据库的管理员账号密码,关于该漏洞的详情,我们仔细分析看下

  • 安全狗提醒:CNVD提示近期这些漏洞要注意提防

    GoogleChrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码等。

  • ECshop4.0 漏洞利用及如何修复网站漏洞

    ecshop目前最新版本为4.0,是国内开源的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站的漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数,来对网站数据库进行攻击

    标签:
    网站漏洞
  • 网商平台出现“致命”漏洞 实名认证只是走过场?

    两年前,大学生汪某偶然间发现某大型网商平台存在一个“致命”漏洞。即不需要本人的实名认证,也不需要绑定银行卡,使用他人的身份信息,就可以注册账号赊账购物。于是,汪某便走上

    标签:
    安全漏洞
  • APP网站安全漏洞检测详细介绍

    关于APP漏洞检测,分为两个层面的安全检测,包括手机应用层,以及APP代码层,与网站的漏洞检测基本上差不多,目前越来越多的手机应用都存在着漏洞,关于如何对APP进行漏洞检测,我们详细的介绍一下。

  • 一个成功的营销型企业网站应该具备什么

    随着互联网的快速发展,现在各行各业的企业都有自己的企业网站,然而好多企业在拥有了自己的网站之后,效果却并没有多少,导致的结果就是,许多企业对于网站的建设越来越没有信心,那么一个成功的营销型企业网站应该具备什么呢,下面为大家分享几点想法。

  • alexa网站流量查询统计技巧

    Alexa网站流量排名是目前常引用的用来评价某一网站访问量的一个指标。事实上,Alexa排名是根据对用户下载并安装了AlexaToolsBar嵌入到IE等浏览器,从而监控其访问的网站数据进行统计的,因此,其排名数据并不具有绝对的权威性。但由于其提供了包括综合排名、到访量排名、页面访问量排名等多个评价

  • 平头哥SEO谈建站时容易被忽略的一些重要细节

    网站的建设,可能有一些人会认为只要结构不出现大的错误,尽量减少bug就可以看作是一个成功的网站,其实不然。网站的建设确实是一个技术性的工作,但这里说的技术不仅限于是代码如何编写这么简单,有很多重要的细节往往是新人在进行网站建设时最容易忽略的,而如果忽略了这些问题,将会严重的影响到用户的使用体验,那么

  • 网站漏洞修复之Discuz X3.4远程代码执行漏洞

    近期我们SINE安全在对discuzx3.4进行全面的网站渗透测试的时候,发现discuz多国语言版存在远程代码执行漏洞,该漏洞可导致论坛被直接上传webshell,直接远程获取管理员权限,linux服务器可以直接执行系统命令,危害性较大,关于该discuz漏洞的详情,我们来详细的分析看下。

  • 一个成功的营销型企业网站应该具备什么

    随着互联网的快速发展,现在各行各业的企业都有自己的企业网站,然而好多企业在拥有了自己的网站之后,效果却并没有多少,导致的结果就是,许多企业对于网站的建设越来越没有信心,那么一个成功的营销型企业网站应该具备什么呢,下面就由原创先锋为大家分享几点想法。

  • 为什么营销型企业网站转化效果好

    互联网的发展,现在已经拥有非常庞大的用户群体,对于企业来说是一个巨大的销售市场,如果在这巨大的销售市场展开销售,挖掘自己的潜在客户,途径就是做网络营销,建立属于自己企业个性化营销型企业网站,这种并不是简单的展示企业形象与产品,这个需要去做网站的营销,注重网站的转化率,简单的网站已经不能满足现在网络需

  • 免费CMS建站系统哪个比较好?如何选择?

    现在有很多的人在建设网站的时候采用的都是cms系统,我国比较经常使用的是PageAdmin、DEdeCMS、帝国系统等等不同的CMS系统使用的方向也是有所差异的,下面我们就来看下哪些建站系统会更加的好用一些。

    标签:
    cms系统
    cms源码
  • 营销型网站开发建设有怎样的优势和价值?

    与传统企业营销活动相比较,网站开发建设更具有活力和时代感,符合当代人们对于信息整合和掌握的理念与习惯。进行良好的营销型网站建设工作,能够具有非常强大完善的全网营销功能,这其中的内容包括网站服务、客服热线、网络推广、企业电子地图、企业邮箱等等。

  • 营销型网站建设价格偏贵 为什么我们还要做

    营销型网站,顾名思义就是以营销为目的的网站,自然而然在营销力上与普通网站相比,要出色不少。所以营销型网站在设计之初,便会以体现营销力为核心,从设计、内容等多方面来提升对用户的吸引力,使用户对网站更加信任,并实现用户营销。而许多企业所需要的正是营销力强的网站,通过这样的网站,企业就能令自己的产品得以在

  • 浅谈营销型网站建设价格贵的原因在哪里

    营销型网站,顾名思义就是以营销为目的的网站,自然而然在营销力上与普通网站相比,要出色不少。所以营销型网站在设计之初,便会以体现营销力为核心,从设计、内容等多方面来提升对用户的吸引力,使用户对网站更加信任,并实现用户营销。而许多企业所需要的正是营销力强的网站,通过这样的网站,企业就能令自己的产品得以在

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯