本文目录一览:
- 1、php漏洞怎么修复
- 2、数据库管理员的权限被撤销了如何恢复
- 3、metinfo授权与不授权区别
- 4、公司网站经常受到攻击是为什么?正常吗?
- 5、米拓建站系统怎么样?有谁用过米拓的说一下
php漏洞怎么修复
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
metinfo建站系统使用的PHP语言开发,数据库采用的是mysql架构开发的,在整体的网站使用过程中,简单易操作,可视化的对网站外观进行设计,第三方API接口丰富,模板文件较多,深受企业网站的青睐,建站成本较低可以一键搭建网站,目前国内使用metinfo建站的网站数量较多,该metinfo漏洞会使大部分的网站受到攻击影响,严重的网站首页被篡改,跳转到其他网站,以及网站被劫持跳转到恶意网站上,包括网站被挂马,快照被劫持等情况都会发生。
关于该metinfo漏洞的分析,我们来看下漏洞产生的原因:
该漏洞产生在member会员文件夹下的basic.php代码文件:
metinfo独有的设计风格,使用了MVC框架进行设计,该漏洞的主要点在于使用了auth类的调用方式,在解码加密过程的算法中出现了问题,我们再来看下代码:
通常加密,以及解密的算法是不可以可逆的,但是metinfo写的代码可以进行伪造函数值进行逆算,我们看这个构造的恶意函数,这里的key值是从前端met_webkeys值里进行获取,将获取到的webkeys值进行写入,并赋值到配置文件里,config目录下的config_safe.php代码里。我们通过查看这个代码,发现写入的值没有办法进行PHP脚本的执行,本来以为可是伪造key值进行写入木马,发现行不通,但是在这个伪造key值的过程可以进行sql注入攻击,采用是延时注入方式进行
关于metinfo漏洞的修复建议,以及安全方案
目前metinfo最新版本发布是2019年3月28日,6.2.0版本,官方并没有针对此sql注入漏洞进行修复,建议网站的运营者对网站的后台地址进行更改,管理员的账号密码进行更改,更改为数字+字符+大小写的12位以上的组合方式,对网站的配置文件目录进行安全限制,去掉PHP脚本执行权限,如果自己对代码不是太熟悉,建议找专业的网站安全公司来处理修复漏洞,国内SINE安全,以及绿盟,启明星辰,都是比较不错的网站漏洞修复公司。
数据库管理员的权限被撤销了如何恢复
1.)所有语言都没有权限
1.登录数据库管理平台,进入phpMyadmin管理数据库平台。
2.选定数据库=》点击***_admin_table表(表前缀根据安装时候设置,会有所不同)=》浏览当前数据就是管理员与会员信息列表。、admin_id列就是用户名,选定一个用户点编辑。(绿色框框处)
3.编辑admin_type。
4.0解决办法:如果只有中英两种语言,把en-metinfo,cn-metinfo复制到admin_type字段保存即可。(此处格式为 语言标识-metinfo,不同语言用逗号隔开)
3.0解决办法:把metinfo复制到admin_type字段保存即可。
metinfo授权与不授权区别
根据MetInfo企业网站管理系统使用协议,除个人网站和非盈利性机构网站外,其他所有商业用途的网站均需要购买商业版权。购买商业版权在法律层面是强制,但是实际操作中,MetInfo官方从未强制用户购买商业版权,也不会追踪查看用户是否经过官方授权,只有在以下几种情况,官方将要求出示授权证明或进行法律诉讼:
1、非法去除官方版权标识且进行非法销售的行为;
2、非法购买所谓的“破解版“的网站;
3、非法去除官方版权标识的网站;
4、委托他人建站未经商业授权非法去除版权标识的网站;
5、需要MetInfo相关商业用户技术支持时,请出示授权证明;
鉴于中国的版权保护环境和意识,官方建议用户使用MetInfo建站时,如果没有能力或意愿购买商业版权,请务必保留版权标识和底部官方版权链接,以免产生不必要的法律纠纷。
MetInfo没有精力也没有能力去跟踪所有的免费用户,反而希望大家在保留官方版权的前提下免费使用MetInfo,我们的理念是”为合作伙伴创造价值“,我们相信MetInfo的产品和服务最终是能为用户带来效益的,同时我们也相信诚信的用户在盈利之后会购买商业版权或帮助MetInfo继续发展。
相关文章:
1、商业版和免费版在系统功能上有区别吗?
2、不购买商业授权是否会被官方追究?
3、如何获取MetInfo网站管理系统商业授权?
4、免费使用MetInfo需要保留哪些官方版权标识?
5、什么是商业授权?
6、商业授权相关常见问题
7、商业授权查询:
8、MetInfo企业网站管理系统使用协议:
公司网站经常受到攻击是为什么?正常吗?
其实做好以下几点就能减少甚至完全阻止黑客攻击:
1.选择安全稳定的建站系统:网站实质上是一款软件,软件都会有安全稳定相关指标,搭建企业网站时应尽量选择运营维护时间长、开发经验丰富、且可以持续更新升级的大品牌建站系统,如metinfo。切勿选择那些小建站公司从网络下载的建站源码再修修补补给你使用。
2.选择php或java开发语言,并务必使用linux服务器(windows服务器受攻击的概率会大很多倍),如果是虚拟主机,请注意一台服务器是是否放置了其他容易受攻击的站点。
3.网站上线后做好安全设置防范工作:隐藏后台管理登录地址,将后台管理员账号密码尽量设置为复杂的字符,及时将网站系统升级到厂商最新版本。
我们实践过程中,很多用户虽然选择了我们自主开发10年的米拓企业建站系统,但因选用了windows虚拟主机,而且网站后台地址和账号密码过于简单,且很少升级,经常有用户网站出现被黑的情况,虽然支付技术支持服务费用我们官方可以提供清马和升级服务,但网站被黑会给关键词排名和用户访问造成负面影响。
因此网站的安全很大程度上取决于建站系统、服务器的选择和日常运营的安全防范措施。
只要注意以上几点,没有技术人员同样也可以确保企业网站安全稳定的运行,远离黑客木马。
米拓建站系统怎么样?有谁用过米拓的说一下
米拓建站的5个特点:
1. 不了解也不畏惧中国的法律和司法机关,什么“7天无理由退款”不可能的;
2. 官网上宣传的服务,实际上并不会提供。写在网上的目的,仅仅就是专门为了坑骗客户的钱罢了,有傻子还会当真;
3. 不知道什么叫尊重客户,在没有通知客户,并且没有得到客户同意的情况下,就直接把客户存有建站资料,并且已经付费的后台关闭
4. 客户提工单,不会解决问题,有什么问题请走12315投诉(米拓建站的营销总监原话)。
5. 如果有争议,那就是客户不懂规则,客户没有逻辑,客户也不懂法律。米拓的营销总监可以随意书面辱骂客户。
本人在2020年1月8日在米拓建站的官网上购买了99元的一个月的云建站企业版服务,根据米拓建站的官网所示,内容包括有“支持网站免费备案”的服务,遂通过400电话要求米拓建站的客服提供“备案服务号”,电话沟通之后被告知要求走工单,在工单里面又被“技术支持部经理”告知“你现在的主机使用时间是1个月,无法提供备案服务号,如果需要提供,请先延期主机使用时长”。
但是米拓建站在其官网主页或者内容页面的显著位置都没有提到过购买其服务1个月不能提供备案服务号这一说法(现在官网已改,但是我有当时的截屏为证)。
在我质问这是官网列举的服务之后,营销总监而后又改口说,要“对于购买时间不足1年的用户,你可以花50元购买备案服务号”。但是这些信息在官网上都没有事先提及,是在我申请退款之后,又告诉说,再多付50元就可以给我“备案服务号”。在座的各位网友,你们觉得这样的“付款模式”是不是一个无底黑洞,随时随地会被米拓建站来要挟。
面对如此无理的要求和霸王条款,我只能选择退款,1月9日(购买服务的第二天)与400客服沟通无效之后,只能再次提交工单要求退款。这时出来一个“营销总监”告诉我说“可退款金额为0.”
简直流氓到令人发指,没有一点道德底线!因为稍微懂一些法律知识,所以就本着普及法律的态度,告知对方我国《侵害消费者权益行为处罚办法》的“7天无理由退换货”。
米拓建站的营销总监回复要退款不可能,不服“请通过国家权威机构进行投诉“。
1月11日上午登录米拓建站的后台查看退款情况和进度,不但没有任何进展,而且网站后台已经被关闭了。
总结下:我在米拓建站花了99元买了1个月的建站服务,没拿到网站上号称的“备案服务号”,钱也不给退还,还在1天之内连通知都没给我,就把后台关了。
--------------------------------------------------------------------------
2020年1月30日更新回复:
大家可以看到这篇帖子,从头到尾我作为受害人,唯一做的事情就是根据时间顺序来陈述事实。
所谓的“米拓营销总监”,回复说了3个点:
第一点总结:客户不懂规则,客户没有逻辑,客户也不懂法律。而这三点,米拓建站的营销总监恰好全都懂,并且能让米拓建站提供服务的方式就是通过12315热线的投诉来解决。各位用户,可要看清楚了,你们以后在米拓建站上可要小心了,发工单的下一步就是12315。而且是在明知99元不可能立案的情况下,来质问客户“为什么不去12315投诉?”
根据营销总监的建议,已经在全国12315平台上实名投诉米拓建站。在整个沟通交流过程中,我一直秉承中华民族传统美德,但是米拓的营销总监对待客户的方式就是书面辱骂。
第二点总结:我通篇陈述事实,米拓建站的营销总监就跟我说,他要“吵得很凶”了。
第三点总结:根据产品介绍我要求米拓建站提供ICP备案的备案号,来回了好几轮都没有给我,连ICP备案都没有,就开始把锅甩给“域名访问”?这个营销总监的业务能力确实需要回炉再造,要么就是脑回路清奇。
我就问下,如果是你把网站放在这样的公司里面,和这么说话的人打交道,你放心吗?
打400电话永远不解决问题,发了工单就要被营销总监书面辱骂,还被质问“为什么不去12315投诉?”。如果各位受得了这样的售后服务态度和质量,大可继续找米拓建站。