怎麼修復網站漏洞之metinfo遠程SQL注入漏洞修補

2018年11月23日SINE網站安全檢測平臺，檢測到MetInfo最新版本爆出高危漏洞，危害性較大，影響目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本，該網站漏洞產生的主要緣由是MetInfo的上傳代碼裏的參數值沒有進行安全過濾，致使上傳路徑這裏進行僞造路徑，並能夠插入惡意的代碼，以及特殊字符進行上傳圖片到MetInfo的後臺。

MetInfo也叫米拓企業網站建站系統，是目前大多數企業網站使用的一個建站系統，整個系統採用的是php+mysql數據庫做爲基礎架構，支持多功能語言版本以及html靜態優化，可視化簡單操做，能夠本身定義編寫API接口，米拓官方提供免費的模板供企業網站選擇、網站加速，補丁在線升級，移動端自適應設計，深受廣大建站公司的喜歡。

metinfo 漏洞詳情利用與metinfo 網站漏洞修復

目前最新的版本以及舊的版本，產生漏洞的緣由以及文件都是圖片上傳代碼裏的一些代碼以及參數值致使該漏洞的產生，在上傳圖片中，遠程保存圖片功能參數裏能夠對傳入的遠程路徑值得函數變量進行修改與僞造，整個metinfo系統並無對該變量值進行嚴格的檢查，致使攻擊者能夠利用SQL注入代碼進行攻擊，咱們來測試代碼，www*****com/?%23.png加了百分比符合能夠繞過遠程上傳圖片的安全過濾，metinfo後臺會向目標網址進行請求下載，進而形成漏洞攻擊。

metinfo漏洞修復建議：

該網站漏洞，SINE安全已提交報告給metinfo官方，官方並無給與積極的迴應。官方也沒有更新關於該metinfo漏洞的補丁，建議企業網站對上傳代碼這裏進行註釋，或者對上傳的圖片格式進行服務器端的安全過濾與檢測，尤爲GET,POST的請求方式進行檢測上傳特徵碼。也能夠對圖片上傳的目錄進行腳本權限的控制，取消執行權限，以及PHP腳本執行權限。