当前位置:首页 >  站长 >  建站经验 >  正文

网站漏洞检测 泛微OA系统sql注入攻击检测与修复

 2019-10-12 15:08  来源: A5用户投稿   我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。

该OA系统漏洞的产生原因主要是泛微里的WorkflowCenterTreeData接口存在漏洞,在前端进行提交参数过程中没有对其进行安全效验与过滤,导致可以插入oracle sql语句拼接成恶意的注入语句到后端服务器中去,造成sql注入攻击对数据库可以进行增,删,读,获取用户的账号密码,目前的安全情况,泛微官方并没有对该漏洞进行修复,也没有任何的紧急的安全响应,所有使用泛微的E-cology OA办公系统都会受到攻击。

什么是泛微OA系统?简单来介绍一下,该系统是以公司办公为核心,提供快捷方便的办公网络,所有的公司办公都在泛微OA系统上实现,大大的提高办公效率以及沟通效率,可视化,电子合同,电子盖章,存证,身份安全认证,语音话,协同办公,给公司的运营带来了极大的方便。该OA系统版本覆盖70多个行业,根据行业属性量身定制,还可以APP端协同办公。泛微OA系统采用JAVA+oracle数据库架构开发,国内使用该OA网站系统的公司达到上万家,广东省使用该系统的公司数量最多,紧跟其后的是四川省,再就是河南省,上海市等地区。

网站漏洞POC及网站安全测试

我们来看下WorkflowCenterTreeData接口的代码是如何写的,如下图:当这个接口从前端接收到传递过来的参数的时候,没有对其进行详细的安全检测与过滤导致直接可以插入恶意的SQL注入语句拼接进来,传递到服务器的后端执行,导致网站sql注入漏洞的产生。可以查询当前网站的OA系统管理员账号密码,通过解密可以登录后台并直接操作后台系统,查看公司的办公情况,用户的数据可导致被泄露,严重的可以在后台上传webshell,也就是网站木马文件,获取linux服务器的权限。

关于该泛微OA网站漏洞的修复与建议:

目前官方还未发布网站漏洞补丁,建议网站运营者对get,post方式的提交做sql注入语句的安全检测与拦截,可以部署到nginx,以及apache前端环境当中,或者对WorkflowCenterTreeData接口的代码进行注释,停止该接口的功能使用,对网站后台地址进行更改,如果对代码不是太懂的话也可以找专业的网站安全公司来处理,国SINESAFE,启明星辰,绿盟都是比较不错的安全公司。也可以对网站的管理员账号密码进行更改,以数字+字母+大小写等组合10位密码以上来防止该网站漏洞的攻击。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: websafe    /    文章:144篇

相关文章

  • HMS Core安全检测服务助力开发者安全快速构建应用

    华为安全检测服务(HUAWEISafetyDetect)是华为HMSCore推出的多维度安全检测开放服务,依托华为手机TEE,在完全不影响用户体验的情况下,助力开发者快速构建应用安全,让开发者专注于应用创新。

  • 网站服务器安全防护知识分享

    很早以前我搭建服务器只是为了测验我所学的知识点,安全没有怎么留意,服务器一直以来被各种攻击,我那时候也没怎么留意,之后我一直都在真真正正去使用服务器去搭建正式的网站了,才觉得安全性问题的紧迫性。当时服务器买的比较早,web环境用的study是相信大家对此环境都不陌生。

  • 网站安全测试从业者经验分析

    要一步一步的从技术职业向管理职业转型、进修管理方法,提高领导能力。要进一步增加自身的人际圈子,千万不要拘束自身的人际交往范围。想要自己做渗透测试公司创业的朋友,要深入分析公司管理和财务会计方面的知识,千万不要草率创业。

  • 网站被黑客攻击 企业如何进行网站安全防护

    好多企业网站遭遇黑客攻击,像黑客入侵在互联网只要有数据网络,就能使用数据网络远程操作目标的笔记本电脑、网络服务器、企业网站,从而任意地读取或篡改目标的重要数据,又又或者使用目标系统软件上的功能模块,比如对手机的麦克风开展监听,开启对方摄像头开展监控,使用已经被入侵的设备计算能力开展挖矿从而得到虚拟货

  • 苹果CMS漏洞修复 对SQL远程代码注入及任意文件删除修补办法

    目前苹果CMS官方在不断的升级补丁,官方最新的漏洞补丁对于目前爆发的新漏洞没有任何效果。更新补丁的用户网站还是会遭受到挂马的攻击,很多客户因此找到我们SINE安全寻求网站安全技术上的支持,针对该漏洞我们有着独特的安全解决方案以及防止挂马攻击的防护,包括一些未公开的maccmsPOC漏洞都有修复补丁。

  • 网站php代码漏洞挖掘修复办法

    国内学习漏洞挖掘的习惯所谓奠定基础,学习各种编程书籍,然后学习漏洞挖掘,问题是不可能控制学习编程的程度。其次,外国学生通常必须学习这一过程,初学

  • 站长爆料:部分地区备案需提供纳税证明

    站长表示,企业备案越来越严格,也越来越正规。不仅,国内主机商开始取消个人网站备案码,这次还整出了企业纳税证明或社保证明,如果大面积强制要求纳税证明或者社保证明的话,很多的小企业和个人站长根本都达不到备案的要求了,对于很多个人站长来说个人网站门槛是越来越高,难搞啊!

    标签:
    网站备案
  • 网站建设中常见的数据库SQL漏洞有哪些?

    近年来国家对互联网高科技扶持力度逐渐加大,我国正式进入信息化高速发展的时代,随着信息数据成百倍的增长,伴随而来的信息数据安全问题正在面临严峻的挑战,在企业中网站是企业的形象,网站安全不可忽略,接下来小编就带大家聊聊网站建站中常见的SQL漏洞。

  • 网上商城系统排名介绍

    需要拥有Java开发基础的程序员,因为企业对软件程序进行功能方面的扩展,是需要相关的程序员进行操作。不过经过长期的版本更新迭代,系统各个方面都有显著提升,源代码严格遵循JavaEE标准开发规范,代码注释方面也更加详细,同时提供全面的开发文档,一般来说,有Java商城开发经验的程序员可实现无障碍阅读开

    标签:
    商城系统
  • 企业网站建设关于域名的选择纯干货

    近年来由于国家对创业力度扶持逐渐加大,新兴创业企业犹如雨后春笋搬涌现,许多刚创业成立的企业由于对外宣传的需要,建立企业网站迫在眉睫,但因为行业的差异,对网站建设流程有不是很了解,接下来小编就和各位聊聊企业网站建最为重要的域名选择。

  • 网站渗透测试 该如何入门

    学习是一个不断反馈的过程,你在第2步的学习过程中,作为初学者肯定不会这么顺利,看看开源代码也会遇到不懂得地方,自己写的代码的时候肯定也会调试不通,这时候就接着去找资料,看书,调试,搞懂。

热门排行

信息推荐

扫一扫关注最新创业资讯