东莞市金博网络科技有限公司
400-8052-988
想让企业在互联网上做得更好的企业家的不二之选!
News 2019-08-29
​建站模板米拓后台系统被曝存在漏洞
发表时间:
2019-08-29 11:26:06
分享至:

  现代网站建设中,为了提高网站建设效率常使用第三方的建站系统,知名的建站系统有织梦,wordpress,米拓等一些开源的建站系统。既然是开源的建站系统,总避免不了发现软件后台系统的漏洞和缺陷。MetInfo是一整套开放源码的网站搭建cms模板,是采用PHP语言和MySQL数据库所联合开发的网站后台管理系统,能够在Linux、 Windows、MacOSX等各种不同的平台上运行。近日有安全研究员爆出了Metinfo 5.3.17版本存在的特权提升漏洞,现在让我们来看看它是怎么一回事吧。被爆漏洞代码存在于米拓后台系统安装文件的/include/文件夹下的global.func.php文件的jumpeudo函数中。经实验验证,这个函数中有一个变量”$_SERVER[HTTP_X_REWRITE_URL]”中有嵌入SQL查询语句,这意味着什么呢?如果你的网站没有进行https升级和进行访问验证。在网络上黑客会利用抓包工具对你的访问进行SQL注入,导致数据库后台敏感数据丢失,主要代码如下:

 米拓后台系统

应对这个问题有如下两种解决方法,各位看官可以根据自己网站的实际情况选取。

  1. 这次米拓后台系统被爆的漏洞主要利用了系统自带的伪静态功能。被攻击者要对全站的URL开启伪静态功能。所以,如果你的米拓系统的版本是5.3.18之前的系统。最好在“营销”-->“SEO”-->“静态页面”栏目下关闭伪静态功能。

  2. 升级米拓后台管理系统的版本到5.3.18。就在2019-08-01日米拓官方发布了升级到5.3.18的声明,修复了成功访问后恶意访问者可以获取到管理员权限的重大安全问题。网站后台安全关系到整个网站的盈利和流量,这是企业赖以生存的根本,如果网站后台被别有用心之人获取到,不仅会造成经济损失,更会造成网域名后续经营的困难。所以,还在使用低版本米拓后台系统的站长尽快升级你的系统吧。

 

 

 



标签:   米拓后台系统
金博建站助力成长
售前咨询电话
400-8015-205
在线客服
在线客服,立即响应
在线客服
建议反馈
金博渴望您的建议
立即反馈