jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linux centos系统。

我们来简单的了解下什么是jeecms系统,该系统主要是针对内容文章管理的一个系统,支持微信,以及公众号,移动电脑端自适应的模板系统,开发强大,安全,稳定,优化好,很多程序文件夹做了详细的安全权限分配,禁止直行java脚本文件,jeecms可以全站生成静态文件html,可视化的前端外观设计,丰富的第三方API接口,使得该系统深受广大建站爱好者的喜欢。

jeecms 网站漏洞分析

jeecms漏洞发生的原因是在于网站的上传功能,存在可以绕过安全拦截,直接将jsp格式的网站木马文件上传到服务器中去,由于该上传组件含有远程调用图片链接的功能,导致调用的是并没有做详细的安全过滤,没有限制远程图片的格式,导致可以将任意格式的文件上传到网站当中去。我们来看下代码:

当我们使用远程调用图片功能的时候,会使用前端的upfile函数去调用,然后经过separate的安全分隔符来进行确认文件的格式,导致没有任何的安全验证就可以上传文件,导致网站漏洞的发生。

我们本地电脑搭建下环境,java+mysql环境,apache,使用官方下载的V7版本,我们本地构造上传的页面代码如下:

<form action="http://127.0.0.1:8080/ueditor/getRemoteImage.jspx" method="post"

enctype="multipart /form-data">

<input name="upfile" value="ue_separate_ue">

<input type="submit">

</form>

然后将我们远程图片链接地址写上,http://127.0.0.1:8080/webshell.jsp点提交直接绕过Jeecms的安全检测系统,上传成功,远程图片抓取成功的提示,在上传过程中会直接返回文件的地址路径。

jeecms 网站漏洞修复与建议

目前通过搜索查询到使用jeecms的网站达到上万个,使用该jeecms建站的网站运营者,请尽快升级网站系统到最新版V9版本,自己公司技术有限的,请将远程上传图片功能去掉,ueditor目录下的getRemoteImage.jspx文件删除掉,或者更名,如果自己对代码不是太熟悉话,也可以找专业的网站安全公司处理。

网站漏洞如何修复web漏洞jeecms相关推荐

  1. [ 常见漏洞篇 ]常见web漏洞总结------XSS跨站脚本漏洞

    本文简单的总结了一下XSS的知识点 主要是从面试的角度来总结的 如果想从事安全方向,那么这些基本的漏洞都是需要掌握的 目录 一.XSS形成原因: 二.XSS分类: 1. 反射型XSS 2. 存储型XS ...

  2. mysql 漏洞如何修复_Mysql漏洞修复方法思路及注意事项

    [系统环境] 系统环境:Red Hat Enterprise Linux Server release 5.4 (Tikanga)+  5.7.16 MySQL Community Server (G ...

  3. intel服务器修复两个漏洞,英特尔处理器漏洞怎么修复 Intelcpu漏洞修复方法

    英特尔处理器漏洞怎么修复?这一次由Intel服务器CPU产品诱发的安全事故现在规模正式扩大,不少玩家朋友们都非常担忧,下面我们就来分享一下Intelcpu漏洞修复方法一览,希望对各位有所参考和帮助. ...

  4. php漏洞检测修复,PHPStudy漏洞自查与修复指导

    一.后门检测方法 通过分析,后门代码存在于/ext/php_xmlrpc.dll模块中phpStudy2016和phpStudy2018自带的php-5.2.17.php-5.4.45 phpStud ...

  5. [ web 漏洞篇 ] 常见web漏洞总结之 SQL 注入总结

  6. [ web 漏洞篇 ] 常见web漏洞总结之 RCE 远程代码 / 命令执行漏洞总结

  7. 绿盟漏扫系统漏洞及修复方案

    绿盟漏扫系统漏洞及修复方案 漏洞1 详细描述: 1.X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部 ...

  8. web漏洞-xss漏洞

    web漏洞-xss漏洞 文章目录 web漏洞-xss漏洞 前言 xss介绍 什么是xss xss漏洞产生原因 xss漏洞危害 xss漏洞分类 反射型xss 存储型xss DOM型xss xss漏洞防护 ...

  9. 网络 /Web漏洞扫描

    目录 网络漏洞扫描 OpenVAS 的安装 OpenVAS 的使⽤ Web 漏洞扫描 AWVS AWVS 的使⽤: 创建扫描⽬标 创建扫描任务 开启扫描任务 导出扫描报告 通过网络漏洞扫描,全面掌握目 ...

最新文章

  1. 剑指offer:面试题12. 矩阵中的路径
  2. 程序内存区域分配(五个段)--终于搞明白了
  3. Web中的积累:外观模式 Facade
  4. monty python life of brian-电影Life of Brian 万世魔星
  5. 深度学习时代的图模型,清华发文综述图网络
  6. hashset hastable dictionary concurrentdictionary区别
  7. 作者:熊赟,博士,复旦大学计算机科学技术学院副教授。
  8. Java获取Object属性值
  9. Exchange Server 2016 独立部署/共存部署 (三)—— 安装Exchange程序
  10. Java 持有对象简要笔记
  11. 卷积神经网络中的全连接层
  12. wpf image控件循环显示图片 以达到动画效果 问题及解决方案
  13. 物流的趋势和计算机科技,计算机仿真技术在物流领域的前景分析
  14. 安卓开发:记事本App
  15. 使用VLC在web页面显示海康威视实时监控
  16. .net微信扫码支付
  17. 林园:为2009年培育“种子”
  18. 使用rdbtools工具分析redis备份RDB文件
  19. C++基础---空类型
  20. tEST 1 for NOIP 2017.9.9.

热门文章

  1. 二项分布算法(伯努利实验)
  2. 2018年国家大豆良种攻关大豆重要性状鉴定 —大豆根腐病抗性鉴定
  3. git提交Push to origin/master was rejected
  4. r语言ggplot2误差棒图快速指南
  5. 蔬菜小程序服务器,生鲜蔬菜同城配送小程序案例分析
  6. MCU简单控制DAC芯片应用(以DAC8550为例)
  7. 招生啦!清华大学SIGS人工智能硕士项目2021年硕士研究生普通招考说明
  8. 学习java的第5天
  9. 餐饮管理系统哪个好用?
  10. 马斯克等超1200人联名公开信呼吁:停止训练更强大的AI,这背后原因发人深省,该给ChatGPT泼冷水了