文档章节

MetInfo最新网站漏洞如何修复以及网站安全防护

 网站安全
发布于 2018/10/22 16:12
字数 828
阅读 15
收藏 0

metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞,可以直接拿到网站管理员的权限,网站漏洞影响范围较广,包括目前最新的metinfo版本都会受到该漏洞的攻击,该metinfo漏洞产生的主要原因是可以绕过metinfo的安全过滤函数,导致可以直接插入恶意的sql注入语句执行到网站的后端里去,在数据库里执行管理员操作的一些功能,甚至可以直接sql注入到首页文件index.php去获取到管理员的账号密码,进而登录后台去拿到整个网站的权限。

metinfo程序企业网站被入侵的症状是首页文件被篡改,被替换增加了一些加密的代码如图:网站在各大搜索引擎中的快照内容被修改,而且打开网站后会被跳转到一些赌bo网站,严重影响客户访问公司企业网站的信誉度。

metinfo是国内用的比较的一个建站系统,许多中小企业都在使用这套cms系统,简单,快捷,可视化,是新手都可以设计网页的一个系统,超强大,这次漏洞影响范围较大,9月26号发布的最新版都有这个网站漏洞,SINE安全预计接下来的时间将会有大量的企业网站被黑,请给位网站运营者尽快的做好网站漏洞修复工作,以及网站的安全加固防护。

metinfo使用了很多年了,开发语言是PHP脚本语言开发的,数据库采用mysql数据库,开发简单快捷,从之前就不断的爆出漏洞,什么远程代码执行漏洞,管理员账号密码篡改漏洞,XSS跨站等等。

关于该metinfo漏洞的详情与漏洞的修复如下:

这些网站漏洞的本质问题是由于网站根目录下的app文件下的system目录里的message代码,其中有段message的sql执行代码是select * from {$M[table][config]} where lang ='{$M[form][lang]}' and name= 'met_fdok' and columnid = {$M[form][id]},这行代码里没有单引号,导致可以进行sql注入,插入恶意的参数去绕过metinfo自身的安全过滤系统,加上inadmin这个值没有进行强制的转换与定义,导致sql过滤函数可以把用户输入的特殊字符都给删除,利用index首页文件的domessage的方式去定义了inadmin变量,进而进行了sql注入。目前影响的metinfo版本是,Metinfo 6.1.3 MetInfo 6.1.2,MetInfo 6.1.1,MetInfo 5.3.4 5.3.8,请管理员尽快升级最新版本,修复网站的漏洞,或者在代码里自定义部署sql注入拦截系统,做好网站安全防护。

© 著作权归作者所有

共有 人打赏支持
粉丝 3
博文 80
码字总数 98391
作品 0
青岛
私信 提问
怎么修复网站漏洞之metinfo远程SQL注入漏洞修补

2018年11月23日SINE网站安全检测平台,检测到MetInfo最新版本爆出高危漏洞,危害性较大,影响目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,该网站漏洞产生的主要原因是MetInfo的上传代码...

网站安全
2018/11/24
0
0
MetInfo v5.0.3发布,重大安全漏洞修复!【请尽快升级】

近日一位热心网友帮忙发现了从MetInfo v2.0到MetInfo v5.0.2版本都一直存在的重大安危漏洞,这几个漏洞对网站安全会造成一定的安全隐患! MetInfo v5.0.3已经解决这几个重大安危漏洞,建议各...

MetInfo
2012/09/28
1K
0
MetInfo 5.3 新版发布!企业网站管理系统

MetInfo企业网站管理系统,完美实现"电脑网站+手机网站+微信公众号"三位网络入口为一体的企业网站管理系统。利用一个后台,就能够便捷的管理电脑网站、手机网站、微信公众号,信息内容都可以...

MetInfo
2015/03/11
3.2K
6
终于等到你!MetInfo 5.3 新版发布!

MetInfo 企业网站管理系统,完美实现"电脑网站+手机网站+微信公众号"三位网络入口为一体的企业网站管理系统。利用一个后台,就能够便捷的管理电脑网站、手机网站、微信公众号,信息内容都可以...

MetInfo
2015/03/10
7.5K
10
MetInfo 企业网站管理系统 v5.2.4

MetInfo v5.2.4版本全新推出微信公众号管理系统,完美实现"电脑网站+手机网站+微信公众号"三位网络入口为一体的企业网站管理系统。利用一个后台,就能够便捷的管理电脑网站、手机网站、微信公...

MetInfo
2014/04/01
2.9K
8

没有更多内容

加载失败,请刷新页面

加载更多

阿里强制要求的21条Java开发规范,可以避免很多坑

1. 【强制】避免通过一个类的对象引用访问此类的静态变量或静态方法,无谓增加编译器解析成本,直接用类名来访问即可。 2. 【强制】所有的覆写方法,必须加@Override注解。 说明:getObject...

天王盖地虎626
2分钟前
0
0
oracle dg 备库未设置convert参数导致ORA-01111,ORA-01110

查看trace 文件: MRP0: Background Managed Standby Recovery process started (amls) started logmerger process Sun Jan 20 07:55:53 2019 Managed Standby Recovery starting Real Time ......

hnairdb
22分钟前
0
0
乱入Linux界的我是如何学习的

欢迎来到建哥学Linux,咳!咳!咳!开个玩笑哈,我是一个IT男,IT界的入门选手,正在学习Linux。 在之前,一直想进军IT界,学习IT技术,但是苦于没有人指导,也不知道学什么,最开始我自己在...

linux-tao
55分钟前
1
0
乱入Linux界的我是如何学习的

欢迎来到建哥学Linux,咳!咳!咳!开个玩笑哈,我是一个IT男,IT界的入门选手,正在学习Linux。 在之前,一直想进军IT界,学习IT技术,但是苦于没有人指导,也不知道学什么,最开始我自己在...

linuxprobe16
今天
9
0
OSChina 周日乱弹 —— 没时间 没头发 但有钱

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @开源中国总经办主任 :分享齐一的单曲《这个年纪》 《这个年纪》- 齐一 手机党少年们想听歌,请使劲儿戳(这里) @肿肿卷 :我真的可以睡一天...

小小编辑
今天
115
6

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部