本文目录一览:
- 1、php漏洞怎么修复
- 2、ftp文件删除不掉提示有非法字符
- 3、企业网站制作哪家公司好?
php漏洞怎么修复
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
metinfo建站系统使用的PHP语言开发,数据库采用的是mysql架构开发的,在整体的网站使用过程中,简单易操作,可视化的对网站外观进行设计,第三方API接口丰富,模板文件较多,深受企业网站的青睐,建站成本较低可以一键搭建网站,目前国内使用metinfo建站的网站数量较多,该metinfo漏洞会使大部分的网站受到攻击影响,严重的网站首页被篡改,跳转到其他网站,以及网站被劫持跳转到恶意网站上,包括网站被挂马,快照被劫持等情况都会发生。
关于该metinfo漏洞的分析,我们来看下漏洞产生的原因:
该漏洞产生在member会员文件夹下的basic.php代码文件:
metinfo独有的设计风格,使用了MVC框架进行设计,该漏洞的主要点在于使用了auth类的调用方式,在解码加密过程的算法中出现了问题,我们再来看下代码:
通常加密,以及解密的算法是不可以可逆的,但是metinfo写的代码可以进行伪造函数值进行逆算,我们看这个构造的恶意函数,这里的key值是从前端met_webkeys值里进行获取,将获取到的webkeys值进行写入,并赋值到配置文件里,config目录下的config_safe.php代码里。我们通过查看这个代码,发现写入的值没有办法进行PHP脚本的执行,本来以为可是伪造key值进行写入木马,发现行不通,但是在这个伪造key值的过程可以进行sql注入攻击,采用是延时注入方式进行
关于metinfo漏洞的修复建议,以及安全方案
目前metinfo最新版本发布是2019年3月28日,6.2.0版本,官方并没有针对此sql注入漏洞进行修复,建议网站的运营者对网站的后台地址进行更改,管理员的账号密码进行更改,更改为数字+字符+大小写的12位以上的组合方式,对网站的配置文件目录进行安全限制,去掉PHP脚本执行权限,如果自己对代码不是太熟悉,建议找专业的网站安全公司来处理修复漏洞,国内SINE安全,以及绿盟,启明星辰,都是比较不错的网站漏洞修复公司。
ftp文件删除不掉提示有非法字符
config文件夹是系统的数据库安全文件夹 在安装成功后将变为只读文件,所以 你需要打开文件 手动修改成可改文件,否则将无法删除
官方是不可能在系统中挂马的,否则我们将如何生存?
官方系统中 并没有aspnet_client此文件夹,请检查您的电脑是否中毒
企业网站制作哪家公司好?
企业网站制作在线网站建设平台比较好,在这个平台注册开通网站,就可以一次拥有pc、手机、微网站、小程序,同一后台,共同管理,一次修改,为企业的电子商务和网络营销提供快捷好用的建站平台。
在线网站建设平台助力中小企业数字化经营升级,让经营更简单,助力企业获取高质流量,带来持续不断的优质营销订单。在线网站建设平台服务领域包括网站建设、网站制作、SEO优化、高端网站设计等网站建设一条龙服务范围,涵盖基础的域名、主机等多种应用服务,为企业量身打造一个基于搜索引擎的更加全面的搜索营销体系,帮助企业在新的全球化互联网环境中保持优势。优质品质:业内首创7天无条件退款,7x24小时技术监控,每周功能更新,提供多重保障。一站式服务:提供建站+空间+域名+备案一站式服务,让您解除一切后顾之忧。
想要了解更多有关建站的相关问题,推荐选择在线网站建设平台。在线网站建设平台系统提供了独特的免费版,无需任何费用随时开通。付费版本标准版和推广版的价格也比同类公司低许多,可谓物超所值。在线网站建设平台推出至今得到了国内外用户的一致好评,许多客户都说只花小费用就帮他们解决了大问题。目前在线网站建设平台的注册用户已达到了40万,而且每天还在以惊人的速度持续增长,实力雄厚,值得信赖。
3000+模板任你选!点击这里获取简单快捷的网站制作工具:网站建设平台
