當(dāng)前位置：首頁(yè) > 教育

metinfo MetInfo最新網(wǎng)站漏洞如何修復(fù)以及網(wǎng)站安全防護(hù)

2021-04-06 14:10:01 教育 metinfo,漏洞,網(wǎng)站,代碼,系統(tǒng)

metinfo漏洞是2018年10月20日暴露的，有一個(gè)sql注入漏洞，可以直接獲得網(wǎng)站管理員的權(quán)限。該網(wǎng)站漏洞具有廣泛的影響，包括metinfo的最新版本將受到該漏洞的攻擊。造成這個(gè)metinfo漏洞的主要原因是它可以繞過(guò)metinfo的安全過(guò)濾功能。這樣一來(lái)，惡意的sql注入語(yǔ)句可以直接在網(wǎng)站后端插入執(zhí)行，管理員操作的一些功能可以在數(shù)據(jù)庫(kù)中執(zhí)行，甚至可以直接在首頁(yè)文件的index.php執(zhí)行sql注入，獲取管理員的賬號(hào)密碼，然后登錄后臺(tái)獲取整個(gè)網(wǎng)站的權(quán)限。

metinfo程序企業(yè)網(wǎng)站入侵的癥狀是首頁(yè)文件被篡改，被替換后增加了一些加密代碼。比如各大搜索引擎的網(wǎng)站快照內(nèi)容被修改，打開(kāi)網(wǎng)站后會(huì)跳轉(zhuǎn)到一些賭bo的網(wǎng)站，嚴(yán)重影響客戶(hù)訪問(wèn)公司企業(yè)網(wǎng)站的可信度。

Metinfo是國(guó)內(nèi)比較常用的網(wǎng)站建設(shè)系統(tǒng)。很多中小企業(yè)都在使用這個(gè)cms系統(tǒng)，簡(jiǎn)單、快捷、直觀。是新手設(shè)計(jì)網(wǎng)頁(yè)的系統(tǒng)。它超級(jí)強(qiáng)大，這個(gè)漏洞影響很大。9月26日發(fā)布的最新版本有這個(gè)網(wǎng)站漏洞。SINE Security預(yù)計(jì)下一次會(huì)有大量企業(yè)網(wǎng)站被黑。請(qǐng)盡快給一個(gè)網(wǎng)站運(yùn)營(yíng)者做好修復(fù)網(wǎng)站漏洞和加強(qiáng)網(wǎng)站安全的工作

Metinfo用了很多年，開(kāi)發(fā)語(yǔ)言是PHP腳本語(yǔ)言，數(shù)據(jù)庫(kù)是mysql數(shù)據(jù)庫(kù)，開(kāi)發(fā)簡(jiǎn)單快捷。從之前開(kāi)始，就不斷出現(xiàn)漏洞，比如遠(yuǎn)程代碼執(zhí)行漏洞、管理員賬號(hào)密碼篡改漏洞、XSS跨站等等。

此metinfo漏洞和漏洞修復(fù)的詳細(xì)信息如下:

這些網(wǎng)站漏洞的本質(zhì)問(wèn)題是網(wǎng)站根目錄下app文件下的系統(tǒng)目錄中的消息代碼。消息的sql執(zhí)行代碼為select * from {$ m [table] [config]}，其中l(wèi)ang =' {$ m [form] [lang]} '，name =' met _ fdok '，column d = { $ m[form][id]}。這段代碼中沒(méi)有單引號(hào)。因此，可以執(zhí)行sql注入，并插入惡意參數(shù)以繞過(guò)metinfo自己的安全過(guò)濾系統(tǒng)。此外，inadmin值沒(méi)有被強(qiáng)制轉(zhuǎn)換和定義，這導(dǎo)致sql過(guò)濾功能能夠刪除用戶(hù)輸入的所有特殊字符。inadmin變量由國(guó)內(nèi)用戶(hù)在索引主頁(yè)文件中定義，然后進(jìn)行sql注入。目前受影響的metinfo版本有Metinfo 6.1.3 MetInfo 6.1.2、MetInfo 6.1.1和MetInfo 5.3.4 5.3.8。請(qǐng)盡快升級(jí)最新版本，修復(fù)網(wǎng)站漏洞，或者在代碼中定制sql注入攔截系統(tǒng)，做好網(wǎng)站安全防護(hù)。

1.《metinfo MetInfo最新網(wǎng)站漏洞如何修復(fù)以及網(wǎng)站安全防護(hù)》援引自互聯(lián)網(wǎng)，旨在傳遞更多網(wǎng)絡(luò)信息知識(shí)，僅代表作者本人觀點(diǎn)，與本網(wǎng)站無(wú)關(guān)，侵刪請(qǐng)聯(lián)系頁(yè)腳下方聯(lián)系方式。

2.《metinfo MetInfo最新網(wǎng)站漏洞如何修復(fù)以及網(wǎng)站安全防護(hù)》僅供讀者參考，本網(wǎng)站未對(duì)該內(nèi)容進(jìn)行證實(shí)，對(duì)其原創(chuàng)性、真實(shí)性、完整性、及時(shí)性不作任何保證。

3.文章轉(zhuǎn)載時(shí)請(qǐng)保留本站內(nèi)容來(lái)源地址，http://f99ss.com/jiaoyu/1217535.html

自垂式防火閥「新規(guī)-防排煙」擋煙垂壁、補(bǔ)風(fēng)系統(tǒng)、防火閥的相關(guān)考點(diǎn)

距離消防工程師考試還有19天！注:公共建筑和工業(yè)建筑走道寬度不大于2.5m時(shí)，防煙區(qū)長(zhǎng)邊長(zhǎng)度不大于60m 與補(bǔ)充空氣系統(tǒng)相關(guān)的試驗(yàn)場(chǎng)地: 1.除地上建筑或建筑面積小于500m2的房間的走道外，設(shè)置排煙系統(tǒng)的地方應(yīng)設(shè)置補(bǔ)風(fēng)系統(tǒng)。 2.空空氣由...

工信部汽車(chē)公告查詢(xún)網(wǎng) 重磅！道路機(jī)動(dòng)車(chē)輛生產(chǎn)企業(yè)及產(chǎn)品信息查詢(xún)系統(tǒng)正式上線(xiàn)

從工業(yè)和信息化部獲悉，為進(jìn)一步落實(shí)《政府信息公開(kāi)條例》和《國(guó)務(wù)院關(guān)于加快推進(jìn)“互聯(lián)網(wǎng)+政府服務(wù)”工作的指導(dǎo)意見(jiàn)》的要求，《道路機(jī)動(dòng)車(chē)輛生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入規(guī)定》(以下簡(jiǎn)稱(chēng)《公告》)行政許可事項(xiàng)服務(wù)水平便于公眾查詢(xún)道路機(jī)動(dòng)車(chē)輛生產(chǎn)企業(yè)及產(chǎn)品信息。工...

goahead GoAhead遠(yuǎn)程代碼執(zhí)行漏洞分析報(bào)告

丝袜人妻一区二区三区_少妇福利无码视频_亚洲理论片在线观看_一级毛片国产A级片

metinfo MetInfo最新網(wǎng)站漏洞如何修復(fù)以及網(wǎng)站安全防護(hù)

女子患病欲尋親28年前被送養(yǎng)女兒表示對(duì)她很愧疚

夏佐愛(ài)拍曾經(jīng)紅極一時(shí)的《愛(ài)拍》游戲平臺(tái)，卻因“吃相難看”導(dǎo)致平臺(tái)下架

自垂式防火閥「新規(guī)-防排煙」擋煙垂壁、補(bǔ)風(fēng)系統(tǒng)、防火閥的相關(guān)考點(diǎn)

工信部汽車(chē)公告查詢(xún)網(wǎng) 重磅！道路機(jī)動(dòng)車(chē)輛生產(chǎn)企業(yè)及產(chǎn)品信息查詢(xún)系統(tǒng)正式上線(xiàn)

goahead GoAhead遠(yuǎn)程代碼執(zhí)行漏洞分析報(bào)告

汽車(chē)公告查詢(xún)系統(tǒng) 重磅！道路機(jī)動(dòng)車(chē)輛生產(chǎn)企業(yè)及產(chǎn)品信息查詢(xún)系統(tǒng)正式上線(xiàn)

車(chē)輛信息查詢(xún)系統(tǒng) 重磅！道路機(jī)動(dòng)車(chē)輛生產(chǎn)企業(yè)及產(chǎn)品信息查詢(xún)系統(tǒng)正式上線(xiàn)

西安市工商局官網(wǎng) 西安工商局推出手機(jī)微信端網(wǎng)上公司注冊(cè)登記系統(tǒng)

陜西工商局官網(wǎng) 西安工商局推出手機(jī)微信端網(wǎng)上公司注冊(cè)登記系統(tǒng)

陜西高考志愿填報(bào)系統(tǒng) 【志愿填報(bào)】2018年陜西高考志愿填報(bào)流程（詳細(xì)版）

metinfo MetInfo最新網(wǎng)站漏洞如何修復(fù)以及網(wǎng)站安全防護(hù)

女子患病欲尋親28年前被送養(yǎng)女兒 表示對(duì)她很愧疚

夏佐愛(ài)拍 曾經(jīng)紅極一時(shí)的《愛(ài)拍》游戲平臺(tái)，卻因“吃相難看”導(dǎo)致平臺(tái)下架

女子患病欲尋親28年前被送養(yǎng)女兒表示對(duì)她很愧疚

夏佐愛(ài)拍曾經(jīng)紅極一時(shí)的《愛(ài)拍》游戲平臺(tái)，卻因“吃相難看”導(dǎo)致平臺(tái)下架