域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
jeecms 最近被爆出高危網(wǎng)站漏洞,可以導(dǎo)致網(wǎng)站被上傳webshell木馬文件,受影響的版本是jeecms V6.0版本到j(luò)eecmsV7.0版本。該網(wǎng)站系統(tǒng)采用的是JAVA語(yǔ)言開(kāi)發(fā),數(shù)據(jù)庫(kù)使用的是oracle,mysql,sql數(shù)據(jù)庫(kù),服務(wù)器系統(tǒng)支持windows2008,windows2012,以及l(fā)inux centos系統(tǒng)。
我們來(lái)簡(jiǎn)單的了解下什么是jeecms系統(tǒng),該系統(tǒng)主要是針對(duì)內(nèi)容文章管理的一個(gè)系統(tǒng),支持微信,以及公眾號(hào),移動(dòng)電腦端自適應(yīng)的模板系統(tǒng),開(kāi)發(fā)強(qiáng)大,安全,穩(wěn)定,優(yōu)化好,很多程序文件夾做了詳細(xì)的安全權(quán)限分配,禁止直行java腳本文件,jeecms可以全站生成靜態(tài)文件html,可視化的前端外觀(guān)設(shè)計(jì),豐富的第三方API接口,使得該系統(tǒng)深受廣大建站愛(ài)好者的喜歡。
jeecms 網(wǎng)站漏洞分析
jeecms漏洞發(fā)生的原因是在于網(wǎng)站的上傳功能,存在可以繞過(guò)安全攔截,直接將jsp格式的網(wǎng)站木馬文件上傳到服務(wù)器中去,由于該上傳組件含有遠(yuǎn)程調(diào)用圖片鏈接的功能,導(dǎo)致調(diào)用的是并沒(méi)有做詳細(xì)的安全過(guò)濾,沒(méi)有限制遠(yuǎn)程圖片的格式,導(dǎo)致可以將任意格式的文件上傳到網(wǎng)站當(dāng)中去。我們來(lái)看下代碼:
當(dāng)我們使用遠(yuǎn)程調(diào)用圖片功能的時(shí)候,會(huì)使用前端的upfile函數(shù)去調(diào)用,然后經(jīng)過(guò)separate的安全分隔符來(lái)進(jìn)行確認(rèn)文件的格式,導(dǎo)致沒(méi)有任何的安全驗(yàn)證就可以上傳文件,導(dǎo)致網(wǎng)站漏洞的發(fā)生。
我們本地電腦搭建下環(huán)境,java+mysql環(huán)境,apache,使用官方下載的V7版本,我們本地構(gòu)造上傳的頁(yè)面代碼如下:
enctype="multipart /form-data">
然后將我們遠(yuǎn)程圖片鏈接地址寫(xiě)上,http://127.0.0.1:8080/webshell.jsp點(diǎn)提交直接繞過(guò)Jeecms的安全檢測(cè)系統(tǒng),上傳成功,遠(yuǎn)程圖片抓取成功的提示,在上傳過(guò)程中會(huì)直接返回文件的地址路徑。
jeecms 網(wǎng)站漏洞修復(fù)與建議
目前通過(guò)搜索查詢(xún)到使用jeecms的網(wǎng)站達(dá)到上萬(wàn)個(gè),使用該jeecms建站的網(wǎng)站運(yùn)營(yíng)者,請(qǐng)盡快升級(jí)網(wǎng)站系統(tǒng)到最新版V9版本,自己公司技術(shù)有限的,請(qǐng)將遠(yuǎn)程上傳圖片功能去掉,ueditor目錄下的getRemoteImage.jspx文件刪除掉,或者更名,如果自己對(duì)代碼不是太熟悉話(huà),也可以找專(zhuān)業(yè)的網(wǎng)站安全公司處理。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!