metinfo6.1.0（MetInfo 720）_MetInfo米拓教程-CMS网站吧

本文目录一览：

1、请问一下织梦做好的网站如何上传？求上传的具体步骤
2、php漏洞怎么修复
3、米拓Powered by MetInfo 6.0.0怎么去掉

请问一下织梦做好的网站如何上传？求上传的具体步骤

织梦和metinfo都是开源CMS，以下是metinfo的安装具体步骤，供你参考：

安装之前，请先确认你的虚拟主机已具备运行php系统的必备条件，即可以运行PHP+MYSQL，你可以找虚拟主机提供商确认。

并已做好域名解析和绑定，确保域名已可以正常访问主机，可以参考米拓学院域名解析与绑定教程，或直接使用主机赠送的免费三级域名安装。

第一步、下载打包安装包，zip格式

第二步、安装FTP软件：百度搜索下载安装，可以使用winscp或filezilla

第三步、登录虚拟主机：通过FTP连接虚拟主机，从虚拟主机控制面板找到主机连接账号密码等，填入FTP连接设置中

第四步、上传安装包：上传MetInfo安装包至根目录www，一般虚拟主机的根目录为wwwroot、www、 htdocs、root或FTP连接成功后的默认目录，如果你无法确认，请找主机提供商咨询

第五步、上传解压工具：下载PHP在线解压工具，下载解压后上传到第四步安装包的根目录

第六步、解压MetInfo安装包：通过浏览器访问“域名/unzip.php?file=MetInfo6.2.0.zip”，注意使用可以访问主机根目录的域名和使用实际上传的安装包名称，当页面出现OK时，刷新FTP确认是否解压成功

第七步、开始安装：通过域名直接访问网站，当出现如下界面时，表示可以正常安装了，仔细阅读用户许可协议，同意协议后请点击下一步

第八步、环境检测：系统会自动检测安装环境，只有全部通过后才可以进行下一步安装，如发现权限问题，请通过FTP直接修改

第九步、填写数据库信息：虚拟主机控制面板都可以找到数据库相关信息，请直接复制填写即可

第十步、设置管理员信息：

第十一步、安装完成：你可以访问网站或直接管理网站，网站的默认管理地址为“域名/admin”

metinfo6.1.0（MetInfo 720）

php漏洞怎么修复

近日，我们SINE安全对metinfo进行网站安全检测发现，metinfo米拓建站系统存在高危的sql注入漏洞，攻击者可以利用该漏洞对网站的代码进行sql注入攻击，伪造恶意的sql非法语句，对网站的数据库，以及后端服务器进行攻击，该metinfo漏洞影响版本较为广泛，metinfo6.1.0版本，metinfo 6.1.3版本，metinfo 6.2.0都会受到该网站漏洞的攻击。

metinfo建站系统使用的PHP语言开发，数据库采用的是mysql架构开发的，在整体的网站使用过程中，简单易操作，可视化的对网站外观进行设计，第三方API接口丰富，模板文件较多，深受企业网站的青睐，建站成本较低可以一键搭建网站，目前国内使用metinfo建站的网站数量较多，该metinfo漏洞会使大部分的网站受到攻击影响，严重的网站首页被篡改，跳转到其他网站，以及网站被劫持跳转到恶意网站上，包括网站被挂马，快照被劫持等情况都会发生。

关于该metinfo漏洞的分析，我们来看下漏洞产生的原因：

该漏洞产生在member会员文件夹下的basic.php代码文件：

metinfo独有的设计风格，使用了MVC框架进行设计，该漏洞的主要点在于使用了auth类的调用方式，在解码加密过程的算法中出现了问题，我们再来看下代码：

通常加密，以及解密的算法是不可以可逆的，但是metinfo写的代码可以进行伪造函数值进行逆算，我们看这个构造的恶意函数，这里的key值是从前端met_webkeys值里进行获取，将获取到的webkeys值进行写入，并赋值到配置文件里，config目录下的config_safe.php代码里。我们通过查看这个代码，发现写入的值没有办法进行PHP脚本的执行，本来以为可是伪造key值进行写入木马，发现行不通，但是在这个伪造key值的过程可以进行sql注入攻击，采用是延时注入方式进行

关于metinfo漏洞的修复建议，以及安全方案

目前metinfo最新版本发布是2019年3月28日，6.2.0版本，官方并没有针对此sql注入漏洞进行修复，建议网站的运营者对网站的后台地址进行更改，管理员的账号密码进行更改，更改为数字+字符+大小写的12位以上的组合方式，对网站的配置文件目录进行安全限制，去掉PHP脚本执行权限，如果自己对代码不是太熟悉，建议找专业的网站安全公司来处理修复漏洞，国内SINE安全，以及绿盟，启明星辰，都是比较不错的网站漏洞修复公司。