本文目录一览:
- 1、如何充分发挥MetInfo的SEO功能
- 2、php漏洞怎么修复
- 3、MetInfo跟织梦那个比较好?各自的优点跟缺点是什么,
- 4、metinfo3.0破,完美破解,如何去掉
- 5、Powered by MetInfo意思
- 6、metinfo授权与不授权区别
如何充分发挥MetInfo的SEO功能
MetInfo企业网站管理系统采用PHP+Mysql架构,全站内置了SEO搜索引擎优化机制,支持用户自定义界面语言(全球各种语言),拥有企业网站常用的模块功能(企业简介模块、新闻模块、产品模块、下载模块、图片模块、招聘模块、在线留言、反馈系统、在线交流、友情链接、网站地图、会员与权限管理)。
php漏洞怎么修复
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
metinfo建站系统使用的PHP语言开发,数据库采用的是mysql架构开发的,在整体的网站使用过程中,简单易操作,可视化的对网站外观进行设计,第三方API接口丰富,模板文件较多,深受企业网站的青睐,建站成本较低可以一键搭建网站,目前国内使用metinfo建站的网站数量较多,该metinfo漏洞会使大部分的网站受到攻击影响,严重的网站首页被篡改,跳转到其他网站,以及网站被劫持跳转到恶意网站上,包括网站被挂马,快照被劫持等情况都会发生。
关于该metinfo漏洞的分析,我们来看下漏洞产生的原因:
该漏洞产生在member会员文件夹下的basic.php代码文件:
metinfo独有的设计风格,使用了MVC框架进行设计,该漏洞的主要点在于使用了auth类的调用方式,在解码加密过程的算法中出现了问题,我们再来看下代码:
通常加密,以及解密的算法是不可以可逆的,但是metinfo写的代码可以进行伪造函数值进行逆算,我们看这个构造的恶意函数,这里的key值是从前端met_webkeys值里进行获取,将获取到的webkeys值进行写入,并赋值到配置文件里,config目录下的config_safe.php代码里。我们通过查看这个代码,发现写入的值没有办法进行PHP脚本的执行,本来以为可是伪造key值进行写入木马,发现行不通,但是在这个伪造key值的过程可以进行sql注入攻击,采用是延时注入方式进行
关于metinfo漏洞的修复建议,以及安全方案
目前metinfo最新版本发布是2019年3月28日,6.2.0版本,官方并没有针对此sql注入漏洞进行修复,建议网站的运营者对网站的后台地址进行更改,管理员的账号密码进行更改,更改为数字+字符+大小写的12位以上的组合方式,对网站的配置文件目录进行安全限制,去掉PHP脚本执行权限,如果自己对代码不是太熟悉,建议找专业的网站安全公司来处理修复漏洞,国内SINE安全,以及绿盟,启明星辰,都是比较不错的网站漏洞修复公司。
MetInfo跟织梦那个比较好?各自的优点跟缺点是什么,
作为metinfo企业建站系统的官方,我们非常尊重和认可织梦,中国CMS曾经的辉煌,只可惜开源CMS在国内生存的环境较差,因无人付费和盗版侵权猖獗,曾经很多知名的CMS系统都已经基本停止更新。
如果非要要拿metinfo和织梦比较,metinfo的优势在于找到了生存模式,并一直在持续更新,且跟上了移动互联网的发展,目前的版本全部采用了响应式布局,且即将发布的7.0版本将支持手机端管理网站,MetInfo更适合搭建企业网站!
metinfo3.0破,完美破解,如何去掉
上次发过一个2.0的,好多人对照着破解3.0,不是一个版本当然不成啊。这个是3.0的
metinfo3.0破、完美破解、如何去掉---Powered by MetInfo 彻底解决 留言成功不能提示注册不能提示消息的问题
上一次 破解是随便去掉 弹出的 alert 框 ,但后来注册成功不能提示,留言成功不提示。
后来研究了下 是 okinfo函数的 echo 被我破坏了,使之输出为空了
这一次彻底来破解这个metinfo函数,其实没必要去解密metinfo加密的数据,太麻烦了新手也不容易懂。我就用了一个老套的方法但很实用,新手容易理解操作。
方法:
1. 打开 include 找到common.inc.php 打开后找到
$met_webname=$met_webname.“---Powered by MetInfo”;
删掉 ."---Powered by MetInfo” 即可
2. 打开include目录中的global.func.php
用ctrl+F查找 okinfo( 会跳转到
function okinfo($url = '../site/sysadmin.php',$langinfo){
echo("script type='text/javascript' alert('$langinfo'); location.href='$url'; /script");
exit;
}
3. 将上面的代码复制一下然后 在下面粘贴一下就会出现
function okinfo($url = '../site/sysadmin.php',$langinfo){
echo("script type='text/javascript' alert('$langinfo'); location.href='$url'; /script");
exit;
}
function okinfo($url = '../site/sysadmin.php',$langinfo){
echo("script type='text/javascript' alert('$langinfo'); location.href='$url'; /script");
exit;
}
4. 将第一个的 echo("script type='text/javascript' alert('$langinfo'); location.href='$url'; /script");
前面加上 //
结果为 //echo("script type='text/javascript' alert('$langinfo'); location.href='$url'; /script");
意思将此代码注释掉
5. 用批量替换工具或者DW替换掉整个网站目录中文件包含 okinfo( 替换成 okinfo2(
6. 再打开include目录中的global.func.php
查找 okinfo2( 就会跳转到
function okinfo2($url = '../site/sysadmin.php',$langinfo){
//echo("script type='text/javascript' alert('$langinfo'); location.href='$url'; /script");
exit;
}
function okinfo2($url = '../site/sysadmin.php',$langinfo){
echo("script type='text/javascript' alert('$langinfo'); location.href='$url'; /script");
exit;
}
最后将第一个 okinfo2( 中的2删除了成为 okinfo(
结果为
function okinfo($url = '../site/sysadmin.php',$langinfo){
//echo("script type='text/javascript' alert('$langinfo'); location.href='$url'; /script");
exit;
}
function okinfo2($url = '../site/sysadmin.php',$langinfo){
echo("script type='text/javascript' alert('$langinfo'); location.href='$url'; /script");
exit;
}
就这样破解了 metinfo 系统的 弹出框 说是没经授权不能去掉版权 而且注册 留言都会弹出成功的提示框了
最后帮助菜鸟们去掉底部 版权
部的 打开templates\你正在使用的模版\foot.html
例如:我使用的是met007那就打开templates\met007\foot.html 找到
div class="powered_by_metinfo"
Powered by
a href="" target="_blank" title="{$lang_Info1}"
bMetInfo/b
/a
{$metcms_v} ©2008-$m_now_year
a href="" target="_blank" title="{$lang_Info3}"
/a
/div
然后删掉保存就行了
Powered by MetInfo意思
一般网站底部出现这个信息是代表这个网站或者平台是由某个公司提供的技术支持……
比如powered by ecshop
就是代表这个网站平台的基础是ecshop。
与copyright by microsoft 类似,这个标志你应该见过
metinfo授权与不授权区别
根据MetInfo企业网站管理系统使用协议,除个人网站和非盈利性机构网站外,其他所有商业用途的网站均需要购买商业版权。购买商业版权在法律层面是强制,但是实际操作中,MetInfo官方从未强制用户购买商业版权,也不会追踪查看用户是否经过官方授权,只有在以下几种情况,官方将要求出示授权证明或进行法律诉讼:
1、非法去除官方版权标识且进行非法销售的行为;
2、非法购买所谓的“破解版“的网站;
3、非法去除官方版权标识的网站;
4、委托他人建站未经商业授权非法去除版权标识的网站;
5、需要MetInfo相关商业用户技术支持时,请出示授权证明;
鉴于中国的版权保护环境和意识,官方建议用户使用MetInfo建站时,如果没有能力或意愿购买商业版权,请务必保留版权标识和底部官方版权链接,以免产生不必要的法律纠纷。
MetInfo没有精力也没有能力去跟踪所有的免费用户,反而希望大家在保留官方版权的前提下免费使用MetInfo,我们的理念是”为合作伙伴创造价值“,我们相信MetInfo的产品和服务最终是能为用户带来效益的,同时我们也相信诚信的用户在盈利之后会购买商业版权或帮助MetInfo继续发展。
相关文章:
1、商业版和免费版在系统功能上有区别吗?
2、不购买商业授权是否会被官方追究?
3、如何获取MetInfo网站管理系统商业授权?
4、免费使用MetInfo需要保留哪些官方版权标识?
5、什么是商业授权?
6、商业授权相关常见问题
7、商业授权查询:
8、MetInfo企业网站管理系统使用协议:
