当前位置:首页 >  站长 >  建站经验 >  正文

网站漏洞如何修复jeecms网站程序

 2019-04-19 16:09  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿?#26469;?/a>

  各种互联网项目,新手可操作,几乎都是0门槛

jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linux centos系统。

我们来简单的了解下什么是jeecms系统,该系统主要是针对内容文章管理的一个系统,支持微信,以及公众号,移动电脑端自适应的模板系统,开发强大,安全,稳定,优化好,很多程序文件夹做了详细的安全权限分配,禁止直行java脚本文件,jeecms可以全站生成静态文件html,可视化的前端外观设计,丰富的第三方API接口,使得该系统深受广大建站爱好者的喜欢。

jeecms 网站漏洞分析

jeecms漏洞发生的原因是在于网站的上传功能,存在可以绕过安全拦截,直接将jsp格式的网站木马文件上传到服务器中去,由于该上传组件含有远程调用?#35745;?#38142;接的功能,导致调用的是并没有做详细的安全过滤,没有限制远程?#35745;?#30340;格式,导致可以将?#25105;?#26684;式的文件上传到网站当中去。我们来看下代码:

当我们使用远程调用?#35745;?#21151;能的时候,会使用前端的upfile函数去调用,然后经过separate的安全分隔符来进行确认文件的格式,导致没有任何的安全验证就可以上传文件,导致网站漏洞的发生。

我们本地电?#28304;?#24314;下环境,java+mysql环境,apache,使用官方下载的V7版本,我们本地构造上传的页面代码如下:

enctype="multipart /form-data">

然后将我们远程?#35745;?#38142;接地址写上,http://127.0.0.1:8080/webshell.jsp点提交直接绕过Jeecms的安全检测系统,上传成功,远程?#35745;?#25235;取成功的提示,在上传过程中会直接返回文件的地址路径。

jeecms 网站漏洞修复与建议

目前通过搜索查询到使用jeecms的网站达到上万个,使用该jeecms建站的网站运营者,请尽快升级网站系统到最新版V9版本,自己公司技术有限的,请将远程上传?#35745;?#21151;能去掉,ueditor目录下的getRemoteImage.jspx文件?#22659;?#25481;,或者更名,如果自己?#28304;?#30721;不是太熟悉话,也可以?#26131;?#19994;的网站安全公司处理。

作者: websafe    /    文章:63篇

相关标签
安全漏洞
网站漏洞

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 安卓APP漏洞检测 验证码被重复利用漏洞分析与汇总

    在对客户网站以及APP进行安全检测的同时,我们SINE安全对验证码功能方面存在的安全问题,以及验证码漏洞检测有着十多年?#26408;?#39564;,在整个APP,网站的安全方面,验证码又分2种,第一个是登陆的身份验证码,再一个对重要的操作进行的操作验证码,虽然?#29992;?#23383;上都是验证码,但这两种所包含的内容是不一样的。

  • CVE-2019-0193 apache 漏洞利用与安全防护方案

    apache最近爆出的漏洞越来越多,旗下的solr产品存在远程服务器执行恶意代码漏洞,该漏洞产生的主要原因是因为apachedataimporthandler数据外部收集的一个端口模块,该模块支持从远程的地?#26041;?#34892;通信,并多数据进行收集,正因为开放了远程地址,可导致攻击者构造恶意的代码对DIH进行脚本

    标签:
    安全漏洞
  • 网站存在xss跨站漏洞的解决办法

    很多公司的网站维护者都会问,到?#36164;?#20040;XSS跨站漏洞?简单来说XSS,也叫跨站漏洞,攻击者对网站代码进行攻击检测,对前端输入的地方注入了XSS攻击代码,并写入到网站中,使用户?#26790;?#35813;网站的时候,自动加载恶意的JS代码并执行,通过XSS跨站漏洞可以获取网站用户的cookies以及seeion?#25285;?#26469;窃取用户

  • 谷歌公布iOS漏洞:可通过iMessage发动攻击

    A5创业网(公众号:iadmin5)7月31日讯,据外媒报道,谷歌旗下安全团队ProjectZero的两名成员日前公布了影响iOS系统的6个“无交互”安全漏洞中其中5个的详细信息和演示用攻击代码。这些漏洞可通过iMessage对设备发动攻击。

  • 网站被攻击 该怎样查找漏洞并进行修复

    很多公司的网站被攻击,导致网站打开跳转到别的网站上去,网站快照也被篡?#27169;?#25910;录一些非法的内容快照,有些网站数据库都被篡?#27169;?#20462;改了会员资料,数据库被?#22659;?#31561;等攻击症状,我们SINE安全在解决客户网站被攻击的问题,发现都是由于网站存在漏洞导致的,攻击者利用网站的漏洞对网站进行攻击,上传webshell文件

  • 企业网站的功能怎样才能体现出来

    在?#23548;?#24212;用中,一些企业由于缺乏专业人员维护管理,于是呈现给浏览者的网站内容往往数年如一日,甚至用户的咨询邮件也不给予回复,这样的企业网站没有发挥其应用的作用,也就不足为怪了。

    标签:
    企业网站建设
  • 为什么说企业网站是主动性与被动性的矛盾同一体?

    企业通过自己的网站可以主动发布信息,这是企业网站主动性的一面,但是发布在网站上的信息不会自动传递给用户,只能“被动地”等待用户自己来获取信息,这?#30452;?#29616;出企业网站具有被动性的一面。

    标签:
    企业网站建设
  • 现代企业网站具有什么特色?

    企业网站完全是根据企业本身需要建立的,并非由其他网络服务商所经营,因此在功能上有较大的自主性和灵活性,也正因为如此,每个企业网站的内容和功能会有较大的差别。

    标签:
    企业网站优化
  • 建设特色企业网站 这些要抓好!

    建设企业网站对网站建设笔者而言,不仅可以拓展企业的营销途径、增强对市场的影响力,还可以促进与客户的沟通,使之不受时间空间的限制,提高用户体验?#21462;?#24076;望那些需要建设企业网站的同志们,赶快加入我?#21069;?

    标签:
    企业网站建设
榜单

热门排行

信息推荐

扫一扫关注最新创业资讯
pk10经验论坛
安徽快3跨度和值走势图带连线 胜平负让球胜平负 时时彩包胆计划技巧 快乐双彩2019101期 天空彩票开奖特码 559955静心阁一肖中一特 黑龙江11选五遗漏号码 陕西省快乐20分开奖查询结果 十三张游戏下载 新疆喜乐彩游戏规则 广西快乐双彩2019208 重庆欢乐生肖游戏上市 内蒙古11选五走势图跨度走势 秒速飞艇怎么赢钱 香港赛马会论坛中心