网站漏洞怎么修复代码漏洞

已于 2024-01-19 14:33:23 修改
阅读量582 收藏
点赞数
文章标签: web安全 网络 搜索引擎 数据库
于 2023-03-19 12:10:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzqxwzoe/article/details/129648929
版权
Jeecms网站管理系统被发现存在高危漏洞,允许上传webshell木马文件。受影响版本为V6.0至V7.0,主要由JAVA开发,支持多种数据库和操作系统。漏洞源于上传功能的安全拦截可被绕过。修复建议包括升级到最新版本V9或移除远程上传功能。对于网络安全入门学习者,需要掌握网络基础、操作系统、编程语言和Web安全知识,包括Web渗透和系统层面漏洞利用。
摘要由CSDN通过智能技术生成

jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linux centos系统。

我们来简单的了解下什么是jeecms系统,该系统主要是针对内容文章管理的一个系统,支持微信,以及公众号,移动电脑端自适应的模板系统,开发强大,安全,稳定,优化好,很多程序文件夹做了详细的安全权限分配,禁止直行java脚本文件,jeecms可以全站生成静态文件html,可视化的前端外观设计,丰富的第三方API接口,使得该系统深受广大建站爱好者的喜欢。

jeecms 网站漏洞分析

jeecms漏洞发生的原因是在于网站的上传功能,存在可以绕过安全拦截,直接将jsp格式的网站木马文件上传到服务器中去,由于该上传组件含有远程调用图片链接的功能,导致调用的是并没有做详细的安全过滤,没有限制远程图片的格式,导致可以将任意格式的文件上传到网站当中去。我们来看下代码:

当我们使用远程调用图片功能的时候,会使用前端的upfile函数去调用,然后经过separate的安全分隔符来进行确认文件的格式,导致没有任何的安全验证就可以上传文件,导致网站漏洞的发生。

我们本地电脑搭建下环境,java+mysql环境,apache,使用官方下载的V7版本,我们本地构造上传的页面代码如下:

​​

enctype="multipart /form-data">

<input name="upfile" value="ue_separate_ue">

<input type="submit">

</form>

然后将我们远程图片链接地址写上,http://127.0.0.1:8080/webshell.jsp点提交直接绕过Jeecms的安全检测系统,上传成功,远程图片抓取成功的提示,在上传过程中会直接返回文件的地址路径。

jeecms 网站漏洞修复与建议

目前通过搜索查询到使用jeecms的网站达到上万个,使用该jeecms建站的网站运营者,请尽快升级网站系统到最新版V9版本,自己公司技术有限的,请将远程上传图片功能去掉,ueditor目录下的getRemoteImage.jspx文件删除掉,或者更名,如果自己对代码不是太熟悉话,也可以找专业的网站安全公司处理。

   网络安全入门学习路线

其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图: 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。

最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。

等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。

其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。

所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!https://mp.weixin.qq.com/s/BWb9OzaB-gVGVpkm161PMw

程序员小强_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
漏洞复现
Visual_LXY的博客
11-01 1096
DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现 (一)漏洞简介 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了
ngnix 漏洞修复文档
03-03
Nginx 漏洞修复文档 Nginx 是一种流行的开源 web 服务器软件,但如果配置不当,可能会出现多种漏洞,影响网站安全性。...Nginx 漏洞修复文档提供了多种解决方案来修复 Nginx 的漏洞,使得网站更加安全
PHP网站漏洞怎么修复 如何修补网站程序代码漏洞
网站安全专家
07-09 1315
phpdisk是目前互联网最大的网盘开源系统,采用PHP语言开发,mysql数据库架构,我们SINE安全在对其网站安全检测以及网站漏洞检测的同时,发现该网盘系统存在严重的sql注入攻击漏洞,危害性较高,可以直接获取网站的管理员账号密码,利用默认后台地址登录,可以直接获取webshell权限。 目前phpdisk最新版本为7.0版本,该网站系统可以用于公司办公,企业内部文件共享,文档存储,比传统的...
JEEWMS存在任意文件读取漏洞
最新发布
zkaqlaoniao的博客
06-20 226
JEEWMS基于JAVA的仓库管理系统(支持3PL(三方物流)和厂内物流),包含PDA端和WEB端,功能涵盖WMS,OMS,BMS(计费管理系统),TMS,成功应用于多家国内知名大客户,客户群体:冷链,干仓,快消品,汽车主机厂和配件厂等行业。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。帮助你在面试中脱颖而出。
网站漏洞修复网站安全检测整体解决方案
网站安全专家
07-11 4398
在很多网站系统构建的一开始,最注重的就是网站程序代码安全,我们SINE安全对甲方网站公司部署过很多的网站安全系统,之前有一些网站设计公司对于每个项目都会由专人去负责开发与设计,并与甲方网站公司进行沟通,每个技术的开发水平都不一样,有些网站技术有着十几年的开发经验,有的技术可能只有三四年的开发经验,所以开发出来的网站也都会有网站漏洞,比如:SQL注入漏洞,XSS跨站漏洞,远程命令执行漏洞,CSRF...
PHP网站漏洞怎么修复和查找漏洞
网站安全专家
03-25 2969
ecshop目前最新版本为4.0,是国内开源的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数,来对网站数据库进行攻击。 ecshop 漏洞详情 该网站漏洞发生的根本原因是根目录下的user.php文件,在第315-365行里的代码里,该代码主要是处理用户注册,用户登录的一些...
网站程序漏洞如何修复
weixin_34319374的博客
06-28 120
2019独角兽企业重金招聘Python工程师标准>>> ...
phpcmsV9.6.3升级补丁漏洞修复代码功能二次开发补丁phpcms网站开发教程文档手册
03-18
本压缩包包括多年积累的phpcms网站开发升级补丁,漏洞修复补丁。 其中包括教程文档: 后台安装过程中报错 弹出新窗口而不是新选项卡 浏览器不支持缩略图flash上传改H5 表单发送的邮件不显示表单内容 升级后台编辑器-...
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
代码审计是软件开发过程中的一种重要环节,旨在检测和修复代码中的安全漏洞。Fortify 是一款常用的代码审计工具,它可以自动检测代码中的漏洞,并提供修复建议。下面,我们将介绍 Fortify 代码审计中常见的扫描漏洞...
PHP 跨站脚本攻击漏洞修复 v1.0
05-18
PHP 跨站脚本攻击漏洞修复插件,php防护代码,依托360的360_safe3.php文件,使用方法:1.将360_safe3.php传到要包含的文件的目录,2.在页面中加入防护,有两种做法,根据情况二选一即可:  a).在所需要防护的页面...
SQL+XSS漏洞修复方案
04-13
在本文中,我们将深入探讨这两种漏洞的原理、危害以及如何通过核心代码修复这些问题。 首先,SQL注入是攻击者利用不安全的SQL语句向数据库输入恶意代码,以获取、修改或删除敏感数据。比如,一个简单的登录表单,...
jeecms v9.3 正式版 安装包.zip
07-06
jeecms v9.3 正式版 安装包 更新日志 1、栏目添加选择模型模板只选择一个报错 2、内容复用待审核查询报错(开源版) 3、根栏目添加内容报错 4、后台页面样式调整 5、后台编辑器分页问题 7、数据统计今日数据没有问题 8、公众号推送菜单和群发微信菜单获取微信端消息返回处理 9、OSS管理添加appkey_secretId后台未解密导致数据存储错误 10、会员中心留言列表报错 11、工作流节点空值处理 12、手机模板在静态页生成的情况下url错误处理 13、新增百度主动推送 14、内容删除同时删除静态页(含FTP) 15、栏目和内容静态化调整成只生成前10页 16、activation jcaptcha freemarker JAR部分用户反映下载不了,调整pom采用本地jar 17、栏目没有选择模型模板的情况下,发布内容选择不到模型问题处理 JEECMS简介 JEECMS是一款支持栏目模型、内容模型交叉自定义、以及具备支付和财务结算的内容电商为一体内容管理系统:  对于不懂技术的用户来说,只要通过后台的简单设置即可自定义出集新闻管理、图库管理、视频管理、下载系统、文库管理、政务公开、作品管理、产品发布、供求信息、房屋租售、招聘信息、网络问卷调查及留言板于一体的综合性且不失个性化门户网站。  对于技术达人来说,jeecms不仅提供全部源码,而且在研发之初即全面的考虑了二次开发的高效性和代码的高移植性,是一款非常容易上手和二次开发的产品。  JEECMSv8版本是一款集PC互联网、移动互联网和微信网站于一体的网站群管理系统,jeecmsV7不仅可以通过H5自适应的方式实现手机网页模板,还可以采用v7专享的移动端模板,实现了同一个网站PC端和移动端所展现的风格或者内容一致或完全不一样的效果,让网站更适应用户的浏览体验。  JEECMSv8版本新增作者投稿、投稿管理、投稿佣金收益管理和内容赞赏功能,集成了支付宝和微信多种场景多终端的支付方案,为下一波内容电商从业人员提供技术动力。 JEECMSv8支持PC网站、手机网站、微信网站、手机APP和可移动触摸大屏,一套系统即可完成五端一体化管理的网站建设 JEECMS页面展示:     相关阅读 同类推荐:CMS系统
jeecms v9.3 正式版 源码包.zip
07-06
jeecms v9.3 正式版 源码包 更新日志 1、栏目添加选择模型模板只选择一个报错 2、内容复用待审核查询报错(开源版) 3、根栏目添加内容报错 4、后台页面样式调整 5、后台编辑器分页问题 7、数据统计今日数据没有问题 8、公众号推送菜单和群发微信菜单获取微信端消息返回处理 9、OSS管理添加appkey_secretId后台未解密导致数据存储错误 10、会员中心留言列表报错 11、工作流节点空值处理 12、手机模板在静态页生成的情况下url错误处理 13、新增百度主动推送 14、内容删除同时删除静态页(含FTP) 15、栏目和内容静态化调整成只生成前10页 16、activation jcaptcha freemarker JAR部分用户反映下载不了,调整pom采用本地jar 17、栏目没有选择模型模板的情况下,发布内容选择不到模型问题处理 JEECMS简介 JEECMS是JavaEE版网站管理系统(Java Enterprise Edition Content Manage System)的简称。 · 基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点 · 采用hibernate3 spring mvc spring2 freemarker主流技术架构 · 懂html就能建站,提供最便利、合理的使用方式 · 强大、灵活的标签,用户自定义显示内容和显示方式 · 在设计上自身预先做了搜索引擎优化,增强对搜索引擎的友好性 · 完全生成全站静态页面,可自定义路径结构,无需urlrewrite · 轻松建设大规模网站,可通过次级域名建立子站群,各子站后台管理权限分离,全站实现单点登录 jeecms页面展示:   相关阅读 同类推荐:CMS系统
jeecms万能验证码
12-09
jeecms安装完毕后,找到项目对应的目录,把三个文件进行替换,就可以在注册、登录、留言时免验证码。登录密码错误三次后显示验证码,输入任意数如123就行。注明:jeecms9.2版本已验证通过。
实战注入漏洞检测网站.rar
05-08
在IT安全领域,注入漏洞是一种...6. 定期更新和打补丁:保持系统和应用程序的最新状态,及时修复已知的安全漏洞。 通过理解和实践这些知识,你可以提高你的能力,有效检测和防御注入漏洞,保护网站和用户的数据安全
验证码的三个常见漏洞修复方法
09-03
验证码是网站和应用程序中一种常见的安全机制,用于防止自动化脚本或恶意机器人执行特定操作,如注册、登录或提交表单。然而,验证码系统并非无懈可击,它们可能存在一些漏洞,导致安全性降低。本文将深入探讨验证码...
针对网站漏洞怎么修复区块链漏洞之以太坊
网站安全专家
01-22 409
前段时间以太坊升级架构,君士坦丁堡的硬分叉一个升级代号,被爆出含有高危的网站漏洞,该漏洞产生的原因是由于开启了新的协议模式eip1283导致的,也是区块链漏洞当中危害较为严重的,可以让一些交易进行重入,一个转账可以导致写入2次,但该漏洞并不是确实的可以进行重入漏洞。以太坊区块链在发现该漏洞之后,紧急的停止了以太坊的硬分叉升级,并与上个星期五召开了内部会议对其漏洞进行修复,延期对以太坊的硬分叉升级。...
中国电信EMA平台二期扩容安全验收:关键漏洞修复与防范策略
本文档详细总结了针对SQL注入、盲注、会话标识未更新、已解密登录请求、跨站点请求伪造(CSRF)、不充分账户封锁、不安全HTTP方法、HTTP注释中...地址模式识别、框架钓鱼攻击以及文件替代版本检查等方面的漏洞修复措施...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值