本文目录一览:
- 1、米拓程序升级后编辑器异常无法加载怎么办
- 2、php漏洞怎么修复
- 3、如何本地安装MetInfo网站
米拓程序升级后编辑器异常无法加载怎么办
出现问题的原因有以下两种:
第一:网站的JS文件无法加载会出现类似的问题。
第二:升级过程中后台路径中的admin/ckeditor/ckeditor.js”文件丢失。
通过分析后,小编查看JS文件无异常,当查看网站后台的编辑文件时候果然是ckeditor.js文件不存在了,可能是程序中的漏洞在升级的时候丢失了文件。
解决方法:
1下载metinfo5.3版本的程序在本地解压出来,然后按照以上的路径找到ckeditor.js文件。
2连接空间的FTP,找到对应的目录admin/ckeditor/,把ckeditor.js文件传到该目录下。
3 登陆网站的后台更新下系统的缓存,再点击编辑文章的时候就全部正常了。
以上就是关于米拓程序升级后编辑器异常无法加载的具体处理方法了。
php漏洞怎么修复
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
metinfo建站系统使用的PHP语言开发,数据库采用的是mysql架构开发的,在整体的网站使用过程中,简单易操作,可视化的对网站外观进行设计,第三方API接口丰富,模板文件较多,深受企业网站的青睐,建站成本较低可以一键搭建网站,目前国内使用metinfo建站的网站数量较多,该metinfo漏洞会使大部分的网站受到攻击影响,严重的网站首页被篡改,跳转到其他网站,以及网站被劫持跳转到恶意网站上,包括网站被挂马,快照被劫持等情况都会发生。
关于该metinfo漏洞的分析,我们来看下漏洞产生的原因:
该漏洞产生在member会员文件夹下的basic.php代码文件:
metinfo独有的设计风格,使用了MVC框架进行设计,该漏洞的主要点在于使用了auth类的调用方式,在解码加密过程的算法中出现了问题,我们再来看下代码:
通常加密,以及解密的算法是不可以可逆的,但是metinfo写的代码可以进行伪造函数值进行逆算,我们看这个构造的恶意函数,这里的key值是从前端met_webkeys值里进行获取,将获取到的webkeys值进行写入,并赋值到配置文件里,config目录下的config_safe.php代码里。我们通过查看这个代码,发现写入的值没有办法进行PHP脚本的执行,本来以为可是伪造key值进行写入木马,发现行不通,但是在这个伪造key值的过程可以进行sql注入攻击,采用是延时注入方式进行
关于metinfo漏洞的修复建议,以及安全方案
目前metinfo最新版本发布是2019年3月28日,6.2.0版本,官方并没有针对此sql注入漏洞进行修复,建议网站的运营者对网站的后台地址进行更改,管理员的账号密码进行更改,更改为数字+字符+大小写的12位以上的组合方式,对网站的配置文件目录进行安全限制,去掉PHP脚本执行权限,如果自己对代码不是太熟悉,建议找专业的网站安全公司来处理修复漏洞,国内SINE安全,以及绿盟,启明星辰,都是比较不错的网站漏洞修复公司。
如何本地安装MetInfo网站
一、了解MetInfo安装环境
MetInfo安装环境要求:,需要支持PHP+MySql5.0或以上版本
二、本地搭建PHP+Mysql环境
MetInfo 基于 PHP+Mysql 架构,因此需要在你的电脑上安装能够支持 PHP+Mysql 程序运行的环境,这里我们推荐 wamp 集成环境,使用简单方便。
第一步,你需要下载 wamp 集成环境:
32位操作系统 | 64位操作系统 如何查看电脑操作系统位数?
第二步,安装 wamp 环境:
1)将下载好的 wamp 环境压缩包解压;
2)解压后的文件里有一个exe的安装文件,双击运行即可进入安装流程;
3)双击运行后弹出的第一个界面,直接点 next ;
4)第二个界面是用户协议,点击接受(上面的选项,接受后 next 按钮才会亮),然后点击 next ;
5)第三个界面就是 wamp 安装到哪个盘,根据你的情况设置,设置好了点击 next;
6)第四个界面是问你是否创建快捷方式和启动栏快捷方式,根据需要设置,设置好了点击 next ;
7)第五个界面是让你确认设置的安装信息,没有问题就点 install ;
8)第六个界面是安装进度,需要耐心等待片刻即可完成安装;
9)第七个界面是设置stmp和邮件信息,可以不管,没有什么作用,点击 next ;
10)最后就是我们期待的画面,安装成功,当你勾选的时候,点击 finsh 将会立刻启动 wamp ;
至此已经安装完成,运行浏览器,网址栏输入 就能够访问到初始页面。
如果中间弹出选择文件的步骤,可以无视,点击取消。
注意:迅雷等下载软件会占用80端口,而 wamp 默认需要用80端口,如果冲突会导致 wamp 无法运行或安装,因此建议先卸载迅雷等下载软件再安装 wamp 。
第三步,运行 wamp 环境并设置:
找到 wamp 服务开启图标,以后每次电脑开机重启都需要重新运行 wamp ;
运行后电脑的右下角会出现一个图标,从红色到黄色到绿色,绿色就是启动成功。
第四步,找到网站根目录:
网站根目录位置:安装的盘符\wamp\www\
网站程序文件需要放在 wamp 网站根目录下才能正常运行访问,安装的时候可以设置 wamp 安装到哪个盘,打开对应的盘符,可以看到 wamp 文件夹:
本地环境网站根目录下可以安装多个 MetInfo ,只需要新建文件夹和拷贝程序文件即可。
建议在网站根目录下新建文件夹来放 MetInfo 程序文件,这样如果有多个项目可以新建多个文件夹,便于管理。
访问的时候可以通过网址 文件夹名称/ 的方式来访问到对应的 MetInfo 站点(例如)。
三、如何本地安装MetInfo网站
1、从 MetInfo官网 下载最新版本;
2、在本地电脑 wamp 网站根目录下新建文件夹,名称自定义,如 metinfo ;
3、把下载的 MetInfo 最新版本解压到 metinfo 下;
注意解压后 metinfo 下要直接能找到 index.php 等众多程序文件,而不能在其子文件夹下;
4、运行浏览器,访问 即可进入安装界面;
5、按照步骤一步一步操作完成安装;
注意:数据库信息中的数据库名称自定义填写,数据库帐号 root ,密码不用填写。
望采纳,谢谢!
