网站漏洞检测 泛微OA系统sql注入攻击检测与修复
近日,sine安全监测中心监控到泛微oa系统被爆出存在高危的sql注入漏洞,该移动办公oa系统,在正常使用过程中可以伪造匿名身份来进行sql注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此e-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的poc安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。
该oa系统漏洞的产生原因主要是泛微里的workflowcentertreedata接口存在漏洞,在前端进行提交参数过程中没有对其进行安全效验与过滤,导致可以插入oracle sql语句拼接成恶意的注入语句到后端服务器中去,造成sql注入攻击对数据库可以进行增,删,读,获取用户的账号密码,目前的安全情况,泛微官方并没有对该漏洞进行修复,也没有任何的紧急的安全响应,所有使用泛微的e-cology oa办公系统都会受到攻击。
什么是泛微oa系统?简单来介绍一下,该系统是以公司办公为核心,提供快捷方便的办公网络,所有的公司办公都在泛微oa系统上实现,大大的提高办公效率以及沟通效率,可视化,电子合同,电子盖章,存证,身份安全认证,语音话,协同办公,给公司的运营带来了极大的方便。该oa系统版本覆盖70多个行业,根据行业属性量身定制,还可以app端协同办公。泛微oa系统采用java+oracle数据库架构开发,国内使用该oa网站系统的公司达到上万家,广东省使用该系统的公司数量最多,紧跟其后的是四川省,再就是河南省,上海市等地区。
网站漏洞poc及网站安全测试
我们来看下workflowcentertreedata接口的代码是如何写的,如下图:当这个接口从前端接收到传递过来的参数的时候,没有对其进行详细的安全检测与过滤导致直接可以插入恶意的sql注入语句拼接进来,传递到服务器的后端执行,导致网站sql注入漏洞的产生。可以查询当前网站的oa系统管理员账号密码,通过解密可以登录后台并直接操作后台系统,查看公司的办公情况,用户的数据可导致被泄露,严重的可以在后台上传webshell,也就是网站木马文件,获取linux服务器的权限。
关于该泛微oa网站漏洞的修复与建议:
目前官方还未发布网站漏洞补丁,建议网站运营者对get,post方式的提交做sql注入语句的安全检测与拦截,可以部署到nginx,以及apache前端环境当中,或者对workflowcentertreedata接口的代码进行注释,停止该接口的功能使用,对网站后台地址进行更改,如果对代码不是太懂的话也可以找专业的网站安全公司来处理,国sinesafe,启明星辰,绿盟都是比较不错的安全公司。也可以对网站的管理员账号密码进行更改,以数字+字母+大小写等组合10位密码以上来防止该网站漏洞的攻击。
阎良冰淇淋粉供销-实力可靠的冰淇淋粉经销商
碳钢焊接法兰片法兰盘老牌生产厂家服务好质量优
烘干机 飞达纺织机械 数码印花后整理 印染整机械与设备
河南X射线钡砂防护报价
商标转让成趋势?
网站漏洞检测 泛微OA系统sql注入攻击检测与修复
黑皮苹果苗最新行情
石嘴山空压机储气罐公司_厂家(咨询)
河北造粒机,联华塑料机械厂,造粒机机械
小办公室装修妙招 如何让小办公室更宽敞
衬衫工作服定制常用布料解析
厂商直销数字电接点压力表YK-102
百诺肯净水器 你了解身体里的水吗?
装饰生态竹木纤维线条 型号SXT-7070 100顶角线
陌鲸眼镜:小小防蓝光眼镜有大乾坤
广德UV光解设备厂专门除油烟废气找天环净化详细报价表
新款折叠舞台|铝合金快速搭建舞台|诺构舞台设备
批发汽车静电贴 前挡静电贴 汽车年检贴 环保标志贴 3片装
家庭农场专业大户成主角,把握好好以下4点,你就是农场主
大兴189一卡会购物卡回收1062选哪家1836