MetInfo最新網站漏洞如何修復以及網站安全防禦

metinfo漏洞於2018年10月20號被爆出存在sql注入漏洞，能夠直接拿到網站管理員的權限，網站漏洞影響範圍較廣，包括目前最新的metinfo版本都會受到該漏洞的攻擊，該metinfo漏洞產生的主要緣由是能夠繞過metinfo的安全過濾函數，致使能夠直接插入惡意的sql注入語句執行到網站的後端裏去，在數據庫裏執行管理員操做的一些功能，甚至能夠直接sql注入到首頁文件index.php去獲取到管理員的帳號密碼，進而登陸後臺去拿到整個網站的權限。

metinfo程序企業網站被入侵的症狀是首頁文件被篡改,被替換增長了一些加密的代碼如圖：網站在各大搜索引擎中的快照內容被修改,並且打開網站後會被跳轉到一些賭bo網站,嚴重影響客戶訪問公司企業網站的信譽度。

metinfo是國內用的比較的一個建站系統，許多中小企業都在使用這套cms系統，簡單，快捷，可視化，是新手均可以設計網頁的一個系統，超強大，此次漏洞影響範圍較大，9月26號發佈的最新版都有這個網站漏洞，SINE安全預計接下來的時間將會有大量的企業網站被黑，請給位網站運營者儘快的作好網站漏洞修復工做，以及網站的安全加固防禦。

metinfo使用了不少年了，開發語言是PHP腳本語言開發的，數據庫採用mysql數據庫，開發簡單快捷，從以前就不斷的爆出漏洞，什麼遠程代碼執行漏洞，管理員帳號密碼篡改漏洞，XSS跨站等等。

關於該metinfo漏洞的詳情與漏洞的修復以下：

這些網站漏洞的本質問題是因爲網站根目錄下的app文件下的system目錄裏的message代碼，其中有段message的sql執行代碼是select * from {$M[table][config]} where lang ='{$M[form][lang]}' and name= 'met_fdok' and columnid = {$M[form][id]}，這行代碼裏沒有單引號，致使能夠進行sql注入，插入惡意的參數去繞過metinfo自身的安全過濾系統，加上inadmin這個值沒有進行強制的轉換與定義，致使sql過濾函數能夠把用戶輸入的特殊字符都給刪除，利用index首頁文件的domessage的方式去定義了inadmin變量，進而進行了sql注入。目前影響的metinfo版本是，Metinfo 6.1.3 MetInfo 6.1.2，MetInfo 6.1.1，MetInfo 5.3.4 5.3.8，請管理員儘快升級最新版本，修復網站的漏洞，或者在代碼裏自定義部署sql注入攔截系統，作好網站安全防禦。