当前位置:首页 >  站长 >  建站经验 >  正文

网站漏洞检测 泛微OA系统sql注入攻击检测与修复

 2019-10-12 15:08  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  各种互联网项目,新手可操作,几乎都是0门槛

近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。

该OA系统漏洞的产生原因主要是泛微里的WorkflowCenterTreeData接口存在漏洞,在前端进行提交参数过程中没有对其进行安全效验与过滤,导致可以插入oracle sql语句拼接成恶意的注入语句到后端服务器中去,造成sql注入攻击对数据库可以进行增,删,读,获取用户的账号密码,目前的安全情况,泛微官方并没有对该漏洞进行修复,也没有任何的紧急的安全响应,所有使用泛微的E-cology OA办公系统都会受到攻击。

什么是泛微OA系统?简单来介绍一下,该系统是以公司办公为核心,提供快捷方便的办公网络,所有的公司办公都在泛微OA系统上实现,大大的提高办公效率以及沟通效率,可视化,电子合同,电子盖章,存证,身份安全认证,语音话,协同办公,给公司的运营带来了极大的方便。该OA系统版本覆盖70多个行业,根据行业属性量身定制,还可以APP端协同办公。泛微OA系统采用JAVA+oracle数据库架构开发,国内使用该OA网站系统的公司达到上万家,广东省使用该系统的公司数量最多,紧跟其后的是四川省,再就是河南省,上海市等地区。

网站漏洞POC及网站安全测试

我们来看下WorkflowCenterTreeData接口的代码是如何写的,如下图:当这个接口从前端接收到传递过来的参数的时候,没有对其进行详细的安全检测与过滤导致直接可以插入恶意的SQL注入语句拼接进来,传递到服务器的后端执行,导致网站sql注入漏洞的产生。可以查询当前网站的OA系统管理员账号密码,通过解密可以登录后台并直接操作后台系统,查看公司的办公情况,用户的数据可导致被泄露,严重的可以在后台上传webshell,也就是网站木马文件,获取linux服务器的权限。

关于该泛微OA网站漏洞的修复与建议:

目前官方还未发布网站漏洞补丁,建议网站运营者对get,post方式的提交做sql注入语句的安全检测与拦截,可以部署到nginx,以及apache前端环境当中,或者对WorkflowCenterTreeData接口的代码进行注释,停止该接口的功能使用,对网站后台地址进行更改,如果对代码不是太懂的话也可以找专业的网站安全公司来处理,国SINESAFE,启明星辰,绿盟都是比较不错的安全公司。也可以对网站的管理员账号密码进行更改,以数字+字母+大小写等组合10位密码以上来防止该网站漏洞的攻击。

作者: websafe    /    文章:76篇

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 网站渗透测试 对文件包含注入检测办法

    昨天给大家普及到了渗透测试中执行命令漏洞的检测方法,今天抽出时间由我们Sine安全的渗透工程师来讲下遇到文件包含漏洞以及模板注入漏洞的检测方法和防御手段,本文仅参考给有授权渗透测试的正规安全检测的客户,让更多的客户了解到具体测试的内容,是如何进行全面的网站安全测试。

  • 网站命令执行渗透测试步骤详情

    哈喽大家好,近期我们Sine安全对客户平台进行渗透测试的时候,发现有一些命令执行的漏洞测试语句和函数,导致服务器被提权被入侵,上一节提到XSS跨站脚本攻击检测方法,本章来总和一下脚本执行命令的详细检测手段,以及绕过waf的办法,只有这样详细的对平台进行安全测试才能保障整个平台安全稳定。

  • 渗透测试中遇到的越权漏洞该如何解决

    对存在权限验证的页面进行安全效验,效验网站APP前端获取到的参数,ID,账户密码,返回也需要效验。对于修改,添加等功能进行当前权限判断,验证所属用户,使用seesion来安全效验用户的操作权限,get,post数据只允许输入指定的信息。

  • 渗透测试XSS跨站攻击检测手法

    国庆假期结束,这一节准备XSS跨站攻击渗透测试中的利用点,上一节讲了SQL注入攻击的详细流程,很多朋友想要咨询具体在跨站攻击上是如何实现和利用的,那么我们Sinesafe渗透测试工程师为大家详细的讲讲这个XSS是如何实现以及原理。

  • 渗透测试对网站注入攻击方法剖析

    国庆即将到来,前一期讲到获取网站信息判断所属环境以及各个端口的用处和弱口令密码利用方法,这期仍有很多客户找到我们Sine安全想要了解针对于SQL注入攻击的测试方法,这一期我们来讲解下注入的攻击分类和使用手法,让客户明白漏洞是如何产生的,会给网站安全带来怎样的影响!

  • Laravel框架网站漏洞测试与修复

    Laravel框架是目前许多网站,APP运营者都在使用的一款开发框架,正因为使用的网站较多,许多攻击者都在不停的对该网站进行漏洞测试,我们SINE安全在对该套系统进行漏洞测试的时候,发现存在REC漏洞.主要是XSRF漏洞,下面我们来详细的分析漏洞,以及如何利用,漏洞修复等三个方面进行全面的记录.

    标签:
    网站漏洞修复
  • 如何制作网站?网站建设基本流程详解

    互联网时代,各行各业的企业为了适应时代的发展,纷纷从线下转移至线上来拓展自己的业务。若想让更多人了解自己的企业,拥有一个专属网站至关重要。网站不仅可以详细介绍企业信息,更重要的,能够获取不少潜在客户,有利于品牌宣传和推广。

  • 什么是外贸建站?建站前都有哪些必须了解的?

    网站建成后,得有足够的流量,你才可以实现变现盈利。不然你的外贸网站就只是个空架子,毫无用处。这就需要你做好网站推广,方法也有很多:可以建成网站后,多分享给亲朋好友和老顾客;

  • 外贸建站9大注意要点

    一个网站的好坏、排名高低,用户体验起着关键的作用。如果一个网站不去注重用户体验,那么这个网站就不会得到用户的青睐,即使推广的再多,流量转化率低,询盘少,最后并不会为企业带来更多的订单。

  • 外贸建站公司提醒:这些坑不要入

    在进出口贸易中,70%的采购商使用的是英语,但是仍然有30%的采购商通过母语获取信息。而大多数企业只会将网站展示为英语,而忽略了其它的小语种,这样也会流失掉一些商机。

  • 为什么我的虚拟主机建站访问速度慢

    虚拟主机毕竟便宜,本身性能有限制是正常情况,如果无法在主机上做突破,站长可以多优化自身网站,如不要放置过多图片与视频,尤其FLASH动画尽量避免。网站加载内容越少,速度自然会越快。

    标签:
    虚拟主机
  • 虚拟主机建站 这4点会导致访问速度慢

    一般来说,使用虚拟主机的网多为个人博客、企业网站、论坛等规模不大的网站,如果网站本身流量巨大,且有提供下载、视频等,那么单纯的虚拟主机是无法满足要求的,访问速度慢就需要更换为服务器了。

    标签:
    虚拟主机
  • 手机建站四大核心组成部分

    移动设备接入网络的方式通常有两种,自带移动网络或WIFI,而这种接入方式使得网站更容易入用户建立情感。

    标签:
    手机建站
  • 手机建站留住客户有妙招

    内容永远是最重要的一环,使用手机登入网站的用户大多会专注于一个问题,更希望得到一个问题详尽的答案。

    标签:
    手机建站
  • 三个小知识 教你全方位认识手机建站

    目前市面上的手机网站建设平台虽然数量很多,但质量高的就没多少了。所以大家一定要慎重选择,免得被坑。建站团队的技术水平、模板设计质量、模板数量、过往成功案例、系统稳定性和安全性、售后服务水平等,都是你需要好好调研的部分。有了趁手的建站工具,才能让新手顺利建站,不然就会白白浪费时间和精力,还做不好网站。

    标签:
    手机建站
榜单

热门排行

信息推荐

扫一扫关注最新创业资讯