本文目录一览:
- 1、php漏洞怎么修复
- 2、米拓模板购买后怎么使用?
- 3、有什么好的HTML免费模板网站推荐?
- 4、metinfo响应式模板是什么意思
- 5、phpStudy与metinfo什么关系
- 6、17米拓模板和其他开源模板的区别:
php漏洞怎么修复
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
metinfo建站系统使用的PHP语言开发,数据库采用的是mysql架构开发的,在整体的网站使用过程中,简单易操作,可视化的对网站外观进行设计,第三方API接口丰富,模板文件较多,深受企业网站的青睐,建站成本较低可以一键搭建网站,目前国内使用metinfo建站的网站数量较多,该metinfo漏洞会使大部分的网站受到攻击影响,严重的网站首页被篡改,跳转到其他网站,以及网站被劫持跳转到恶意网站上,包括网站被挂马,快照被劫持等情况都会发生。
关于该metinfo漏洞的分析,我们来看下漏洞产生的原因:
该漏洞产生在member会员文件夹下的basic.php代码文件:
metinfo独有的设计风格,使用了MVC框架进行设计,该漏洞的主要点在于使用了auth类的调用方式,在解码加密过程的算法中出现了问题,我们再来看下代码:
通常加密,以及解密的算法是不可以可逆的,但是metinfo写的代码可以进行伪造函数值进行逆算,我们看这个构造的恶意函数,这里的key值是从前端met_webkeys值里进行获取,将获取到的webkeys值进行写入,并赋值到配置文件里,config目录下的config_safe.php代码里。我们通过查看这个代码,发现写入的值没有办法进行PHP脚本的执行,本来以为可是伪造key值进行写入木马,发现行不通,但是在这个伪造key值的过程可以进行sql注入攻击,采用是延时注入方式进行
关于metinfo漏洞的修复建议,以及安全方案
目前metinfo最新版本发布是2019年3月28日,6.2.0版本,官方并没有针对此sql注入漏洞进行修复,建议网站的运营者对网站的后台地址进行更改,管理员的账号密码进行更改,更改为数字+字符+大小写的12位以上的组合方式,对网站的配置文件目录进行安全限制,去掉PHP脚本执行权限,如果自己对代码不是太熟悉,建议找专业的网站安全公司来处理修复漏洞,国内SINE安全,以及绿盟,启明星辰,都是比较不错的网站漏洞修复公司。
米拓模板购买后怎么使用?
"1,自己安装:先安装米拓cms系统,然后在后台的应用商店登录购买模板的帐号密码,直接在线安装模板。缺点:自己安装不带演示数据(模板站的图片文字内容),只有整体框架。如果要求演示数据的,只能选择第二种方法安装。优点:速度快。
2,客服帮助安装:联系官网客服。免费帮忙安装模板带演示数据和系统。有点:放心,有演示数据。缺点:速度慢,时间长。"
有什么好的HTML免费模板网站推荐?
metinfo.cn/product/ 响应式网站模板,不妨到这一看。我喜欢用这个网站的原因是他的很多模板都是免费的,最主要的一点是,这个网站的页面非常的好看,对于我这个非常喜欢完美的人来说,这个网站满足了我对模板的需求。
metinfo响应式模板是什么意思
"就是由metinfo开发的网站模板,这种网站模板可以根据浏览者的设备,比如手机或者平板,在不改变网站内容的前提上,自动重新布局适应浏览者的设备
,浏览起来更加舒服,相比传统的网站,整体缩小以至于文字需要放大才能看清,这种网站上的文字会自动变成手机可方便阅读的大小"
phpStudy与metinfo什么关系
phpStudy是php一件配置软件包,metinfo是一套php开发好的cms内容管理系统,此系统需要在php环境下才能运行
17米拓模板和其他开源模板的区别:
米拓模板是基于米拓自主开发的米拓企业建站系统运行,可以在线升级,支持可视化编辑,采用响应式框架,自适应浏览器终端,一套模板可以同时在电脑、平板、手机、微信中运行。
米拓模板拥有自主知识产权,首次购买模板赠送对应的技术支持服务,使用中如有故障BUG,还可以反馈给官方升级修复。
