您所在位置：网站首页 > IT计算机/网络 > 网络安全MetInfo最新网站漏洞如何修复以及网站安全防护

MetInfo最新网站漏洞如何修复以及网站安全防护

2页

卖家[上传人]：网***

文档编号：85734310

上传时间：2019-03-13

文档格式：DOC

文档大小：926.50KB

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

0 金贝

/ 2 举报版权申诉马上下载

文本预览

下载提示

常见问题

1、metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞，可以直接拿到网站管理员的权限，网站漏洞影响范围较广，包括目前最新的metinfo版本都会受到该漏洞的攻击，该metinfo漏洞产生的主要原因是可以绕过metinfo的安全过滤函数，导致可以直接插入恶意的sql注入语句执行到网站的后端里去，在数据库里执行管理员操作的一些功能，甚至可以直接sql注入到首页文件index.php去获取到管理员的账号密码，进而登录后台去拿到整个网站的权限。metinfo程序企业网站被入侵的症状是首页文件被篡改,被替换增加了一些加密的代码如图：网站在各大搜索引擎中的快照内容被修改,而且打开网站后会被跳转到一些赌bo网站,严重影响客户访问公司企业网站的信誉度。metinfo是国内用的比较的一个建站系统，许多中小企业都在使用这套cms系统，简单，快捷，可视化，是新手都可以设计网页的一个系统，超强大，这次漏洞影响范围较大，9月26号发布的最新版都有这个网站漏洞，预计接下来的时间将会有大量的企业网站被黑，请给位网站运营者尽快的做好网站漏洞修复工作，以及网站的安全加固防护，如果对程序代码不熟悉的话建议咨询

2、专业做网站安全公司国内推荐SINE安全,绿盟,启蒙星辰等等。metinfo使用了很多年了，开发语言是PHP脚本语言开发的，数据库采用mysql数据库，开发简单快捷，从之前就不断的爆出漏洞，什么远程代码执行漏洞，管理员账号密码篡改漏洞，XSS跨站等等。关于该metinfo漏洞的详情与漏洞的修复如下：这些网站漏洞的本质问题是由于网站根目录下的app文件下的system目录里的message代码，其中有段message的sql执行代码是select * from $Mtableconfig where lang =$Mformlang and name= met_fdok and columnid = $Mformid，这行代码里没有单引号，导致可以进行sql注入，插入恶意的参数去绕过metinfo自身的安全过滤系统，加上inadmin这个值没有进行强制的转换与定义，导致sql过滤函数可以把用户输入的特殊字符都给删除，利用index首页文件的domessage的方式去定义了inadmin变量，进而进行了sql注入。目前影响的metinfo版本是，Metinfo 6.1.3 MetInfo 6.1.2，MetInfo 6.1.1，MetInfo 5.3.4 5.3.8，请管理员尽快升级最新版本，修复网站的漏洞，或者在代码里自定义部署sql注入拦截系统，做好网站安全防护

《MetInfo最新网站漏洞如何修复以及网站安全防护》由会员网***分享，可在线阅读，更多相关《MetInfo最新网站漏洞如何修复以及网站安全防护》请在金锄头文库上搜索。

点击阅读更多内容

TA的资源