返回顶部
位置:首页 > 站长新闻>网站漏洞修复之Metinfo 文件上传漏洞
网站漏洞修复之Metinfo 文件上传漏洞

发布时间:2019-11-08

来源:本站

  扫一扫关注最新创业资讯F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  知乎涨粉、实战引流指南F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  协同OA系统“费控”之争,泛微、华天动力、致远三大品牌对比F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  红米Note8 Pro首销用户评价:CPU游戏出色续航给力F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  喜推加速布局toB服务市场,上海运营中心正式成立F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  再造移动互联时代的域名 百度熊掌号赋能用户体验与运维F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  喜推智能销售系统:如何快速有效地挖掘客户需求F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  微信营销——朋友圈营销技巧!F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  看来通过改变上传文件的格式是没有办法绕过上传,我们继续分析代码,上传文件的路径这里可以进行目录的更改,发现代码有编码的转化功能,如果路径里含有./那么就会使用iconv函数对其进行路径的转换,网站的漏洞也出在这里,根源就是这里,我们可以绕过转换,对其进行字符的截断,低于php5.3版本的都存在这个漏洞,构造代码如下:抓包截取上传的数据包,将savepath=a.php%80\..\1.jpg 然后直接post数据到为什么要直接post到网站后台的地址呢?是因为后台的index.php被Metinfo官方加入到白名单里,可以直接绕过sqlinsert函数的过滤,直接上传webshell到网站中,在实际的漏洞测试过程中,并不需要登录后台,直接post该地址即可,如果不知道数据包是如何写的,可以自己本地搭建一个Metinfo的环境,然后登录后台,截取数据包,再修改数据库的网站地址,进行漏洞测试。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  互联网的发展,现在已经拥有非常庞大的用户群体,对于企业来说是一个巨大的销售市场,如果在这巨大的销售市场展开销售,挖掘自己的潜在客户,途径就是做网络营销,建立属于自己企业个性化营销型企业网站,这种并不是简单的展示企业形象与产品,这个需要去做网站的营销,注重网站的转化率,简单的网站已经不能满足现在网络需F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  很多公司的网站被攻击,导致网站打开跳转到别的网站上去,网站快照也被篡改,收录一些非法的内容快照,有些网站数据库都被篡改,修改了会员资料,数据库被删除,等等攻击症状,我们SINE安全在解决客户网站被攻击的问题,发现都是由于网站存在漏洞导致的,攻击者利用网站的漏洞对网站进行攻击,上传webshell文件F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  各种互联网项目,新手可操作,几乎都是0门槛F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  企业建设营销型网站,并不是建立什么“空中楼阁”,而是要实实在在地展示企业的重要相关信息,其中包括产品内容、服务项目、企业信息等等。从营销的角度来说,这些内容不仅展示要全面,而且要具备较强的表现力。其目的就是要让潜在客户关注这些信息,进而接受和认可这些信息。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  现在是一个知识爆炸的时代,尤其是互联网,每天都要更新大量的内容,对于用户而言,也在不断的适应这种知识爆炸的时代,网站主要是依托内容吸引用户的,很多人不理解,为什么,同样的关键词,需要不断的重复更新F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  网站漏洞修复办法与详情F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  5G是把双刃剑 网络有可能遭到更多攻击F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  我们从上面的代码中可以看出上传文件有一些模式,还有变量的信息,info这个变量是可以控制的,我们看下upfile跟upload调用的方法是什么作用,追踪分析代码发现这个是用来存储上传文件的路径信息的,这2个变量值会直接将上传的路径给改变,这也是该漏洞产生的原因,我们接着继续分析代码的漏洞,Metinfo在使用doupfile上传的时候回对上传的文件名进行安全过滤,基本的一些脚本文件都已经过滤掉了,只能上传一些图片格式的文件,使用白名单安全机制对上传进行了严格的安全限制。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  王欣上线新App:马桶MT之后的第二款APP“灵鸽AI”已上线F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  苹果新品发布会倒计时,苏宁手机揭秘新iPhone配置F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  网站标题如何填写利用搜素引擎关键字优化F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  海信电视军团惊艳柏林 IFA,8K叠屏和屏幕发声激光电视重磅亮相F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  很多公司的网站维护者都会问,到底什么XSS跨站漏洞?简单来说XSS,也叫跨站漏洞,攻击者对网站代码进行攻击检测,对前端输入的地方注入了XSS攻击代码,并写入到网站中,使用户访问该网站的时候,自动加载恶意的JS代码并执行,通过XSS跨站漏洞可以获取网站用户的cookies以及seeion值,来窃取用户F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  最近我们SINE安全在对帝国CMS系统进行代码安全审计的时候,发现该系统存在网站漏洞,受影响的版本是EmpireCMSV7.5,从帝国官方网站下载到本地,我们人工对其代码进行详细的漏洞检测与安全代码分析。共计发现三个高危漏洞,都是在网站的后台管理页面上的功能发现的。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  现在很多企业都会有建设官网的需求,但是企业网站开发需要多少钱,并没有一个统一的、具体的标准。少的几百块钱就可以做一个网站,多的可能要几万块。一般来说,企业网站建设需要的费用和网站是什么类型,以及具有哪些功能有关,下面我们就一起来了解一下。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  从线下营销到线上营销是一个转变非常大的过程,线下的营销模式和线上的营销模式是截然不同的,线下营销很多地方都会受到限制会直接影响到我们的效果而线上营销就不一样它没有时间和空间上面的限制所以才会受到各大行业的青睐,做网络营销推广会涉及到营销型网站在这点上吗你做好了会直接和同行之间拉开差距,那么为什么营销F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  揭秘百青藤项目的最新玩法套路F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  百度搜索严厉打击恶劣采集行为,将推出飓风算法 2.0F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  微信群混群引流的 33种思路F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  关键词排名优化,如何打造一个让蜘蛛喜爱的网站F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  前端时间我们SINE安全对其进行全面的网站漏洞检测的时候发现,Kindeditor存在严重的上传漏洞,很多公司网站,以及事业单位的网站都被上传违规内容,包括一些的内容,从我们的安全监测平台发现,2019年3月份,4月份,5月份,利用Kindeditor漏洞进行网站攻击的情况,日益严重,有些网站还F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  虚拟现实仿真“老兵”-凤凰出版集团布局VR教育,全职业系列产品重兵进击新职教F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  拼多多大涨8.66% 超百度成中国第五大互联网上市公司F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  phpdisk是目前互联网最大的网盘开源系统,采用PHP语言开发,mysql数据库架构,我们SINE安全在对其网站安全检测以及网站漏洞检测的同时,发现该网盘系统存在严重的sql注入攻击漏洞,危害性较高,可以直接获取网站的管理员账号密码,利用默认后台地址登录,可以直接获取webshell权限。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  怎样发微信朋友圈能让文字全部显示不折叠F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  从“云优建站”四个字中或许你看不出云优有什么特别之处,但“云优建站”却比国内其他传统自助建站平台在一些方面占据特殊优势,很多用户也都是使用了其他传统自助建站没有得到想要的结果以后,才来了解并选择我们。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  近期我们SINE安全在对discuzx3.4进行全面的网站渗透测试的时候,发现discuz多国语言版存在远程代码执行漏洞,该漏洞可导致论坛被直接上传webshell,直接远程获取管理员权限,linux服务器可以直接执行系统命令,危害性较大,关于该discuz漏洞的详情,我们来详细的分析看下。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  目前,全球网站建设市场上近70%的网站仍然是传统的静态网站,而20%的网站正在被修改为响应式网站。苹果、华为、微软和IBM等领先的互联网技术公司已经采用了响应式建站,静态网页的未来将以每年5%的渗透率逐步被替换为响应式。为什么高端响应式网站如此重要?F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  聚焦2019美博会,美美咖推出6大模式决战广州之巅F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  AI换脸两大风险是什么?F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  与新加坡做黑帽SEO的朋友对话2小时后,重新看待SEOF6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  很多人不知道的国外赚钱项目,零门槛,小白也可以操作F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  租电正式进入A股上海主板F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  TrustRank算法如何应用到实际SEO工作中?F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  Metinfo CMS系统被爆出网站存在漏洞,可上传任意文件到网站根目录下,从而使攻击者可以轻易的获取网站的webshell权限,对网站进行篡改与攻击,目前该网站漏洞影响范围是Metinfo 6.2.0最新版本,以及以前的所有Metinfo版本都可以利用,关于该Metinfo漏洞的详情我们来详细的分析:F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  营销型网站一定是为了满足企业的某些方面的网络营销功能,面向客户服务为主的企业网站营销功能,以销售为主的企业网站营销功能,以国际市场开发为主的企业网站营销功能,以实现企业的经营目标为核心,从而通过网站这样的工具来实现其网站营销的价值。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  目前官方并没有对此漏洞进行修补,建议程序员对php的版本进行升级到5.3以上,或者切换服务器到linux系统,对上传目录uoload进行无PHP脚本运行权限,或者对网站目录进行安全加固防止PHP的文件的创建与生成。如果您对代码不是太熟悉的话,可以付费找专业的网站安全公司来处理,国内也就SINE安全,绿盟,启明星辰比较专业一些,关于Metinfo漏洞的修复以及加固办法,就写到这里,希望广大的网站运营者正视起网站的安全。F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  XSS跨站以及CSRF攻击,在目前的渗透测试,以及网站漏洞检测中,经常的被爆出有高危漏洞,我们SINE安全公司在对客户网站进行渗透测试时,也常有的发现客户网站以及APP存在以上的漏洞,其实CSRF以及XSS跨站很容易被发现以及利用,在收集客户网站域名,以及其他信息的时候,大体的注意一些请求操作,前端F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  首先该网站漏洞的利用前提是windows系统,PHP语言的版本是小于5.3,相当于旧的服务器都会按照这个环境来配置网站,我们来看下出现漏洞的代码,Metinfo在上传方面写了一个专门的上传功能,非常的强大,使用doupfile进行上传,我们来看下代码,如下图所示:F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  刚建设好的网站如何正确的做网站优化F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  想使用微粒贷的,以下内容可要牢记了F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  刚建设好的网站如何正确的做网站优化F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  实测联发科G90T,红米Note8 Pro表现不像是千元机F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  被经商耽误了的“情歌天王”苏宁之夏展现张近东的另一面F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  实测联发科G90T,红米Note8 Pro表现不像是千元机F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  创业服务平台,专注互联网创业创新F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  外贸企业为什么要做网站SEO关键词优化排名F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  喜推智能销售系统:如何以客户为杠杆撬动更多客户F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  华为P40或用鸿蒙:P40可能是首款搭载鸿蒙系统的手机F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  徐州好推网络科技有限公司 版权所有F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  举报投诉邮箱:/ddF6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录

  新域名新站被无故降权该怎么解决呢?F6j网址提交_网站收录_网站分类目录_中文网站排行-好五七八目录