網站漏洞如何修復網站程序問題

jeecms 最近被爆出高危網站漏洞，能夠致使網站被上傳webshell木馬文件，受影響的版本是jeecms V6.0版本到jeecmsV7.0版本。該網站系統採用的是JAVA語言開發，數據庫使用的是oracle,mysql,sql數據庫，服務器系統支持windows2008,windows2012,以及linux centos系統。

咱們來簡單的瞭解下什麼是jeecms系統，該系統主要是針對內容文章管理的一個系統，支持微信，以及公衆號，移動電腦端自適應的模板系統，開發強大，安全，穩定，優化好，不少程序文件夾作了詳細的安全權限分配，禁止直行java腳本文件，jeecms能夠全站生成靜態文件html，可視化的前端外觀設計，豐富的第三方API接口，使得該系統深受廣大建站愛好者的喜歡。

jeecms 網站漏洞分析

jeecms漏洞發生的緣由是在於網站的上傳功能，存在能夠繞過安全攔截，直接將jsp格式的網站木馬文件上傳到服務器中去，因爲該上傳組件含有遠程調用圖片連接的功能，致使調用的是並無作詳細的安全過濾，沒有限制遠程圖片的格式，致使能夠將任意格式的文件上傳到網站當中去。咱們來看下代碼：

當咱們使用遠程調用圖片功能的時候，會使用前端的upfile函數去調用，而後通過separate的安全分隔符來進行確認文件的格式，致使沒有任何的安全驗證就能夠上傳文件，致使網站漏洞的發生。

咱們本地電腦搭建下環境，java+mysql環境，apache，使用官方下載的V7版本，咱們本地構造上傳的頁面代碼以下:

<form action="http://127.0.0.1:8080/ueditor/getRemoteImage.jspx" method="post"

enctype="multipart /form-data">

<input name="upfile" value="ue_separate_ue">

<input type="submit">

</form>

而後將咱們遠程圖片連接地址寫上，http://127.0.0.1:8080/webshell.jsp點提交直接繞過Jeecms的安全檢測系統，上傳成功，遠程圖片抓取成功的提示，在上傳過程當中會直接返回文件的地址路徑。

jeecms 網站漏洞修復與建議

目前經過搜索查詢到使用jeecms的網站達到上萬個，使用該jeecms建站的網站運營者，請儘快升級網站系統到最新版V9版本，本身公司技術有限的，請將遠程上傳圖片功能去掉，ueditor目錄下的getRemoteImage.jspx文件刪除掉，或者改名，若是本身對代碼不是太熟悉話，也能夠找專業的網站安全公司處理。