1. 树叶网络科技
  2. 新闻圈子
  3. 网站漏洞如何修复jeecms网站程序

网站漏洞如何修复jeecms网站程序

2019-04-19 18:09 / 树叶网络科技/ 技术分享

jeecms最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecmsV6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linuxcentos系统。

我们来简单的了解下什么是jeecms系统,该系统主要是针对内容文章管理的一个系统,支持微信,以及公众号,移动电脑端自适应的模板系统,开发强大,安全,稳定,优化好,很多程序文件夹做了详细的安全权限分配,禁止直行java脚本文件,jeecms可以全站生成静态文件html,可视化的前端外观设计,丰富的第三方API接口,使得该系统深受广大建站爱好者的喜欢。

jeecms网站漏洞分析

jeecms漏洞发生的原因是在于网站的上传功能,存在可以绕过安全拦截,直接将jsp格式的网站木马文件上传到服务器中去,由于该上传组件含有远程调用图片链接的功能,导致调用的是并没有做详细的安全过滤,没有限制远程图片的格式,导致可以将任意格式的文件上传到网站当中去。我们来看下代码:

当我们使用远程调用图片功能的时候,会使用前端的upfile函数去调用,然后经过separate的安全分隔符来进行确认文件的格式,导致没有任何的安全验证就可以上传文件,导致网站漏洞的发生。

我们本地电脑搭建下环境,java+mysql环境,apache,使用官方下载的V7版本,我们本地构造上传的页面代码如下:

enctype="multipart/form-data">

然后将我们远程图片链接地址写上,127.0.0.1:8080/webshell.jsp点提交直接绕过Jeecms的安全检测系统,上传成功,远程图片抓取成功的提示,在上传过程中会直接返回文件的地址路径。

jeecms网站漏洞修复与建议

目前通过搜索查询到使用jeecms的网站达到上万个,使用该jeecms建站的网站seo优化 网站运营者,请尽快升级网站系统到最新版V9版本,自己企业技术有限的,请将远程上传图片功能去掉,ueditor目录下的getRemoteImage.jspx文件删除掉,或者更名,假如自己对代码不是太熟悉话,也可以找专业的网站安全企业处理。

扫一扫关注树叶网络科技公众号

扫一扫关注树叶网络科技公众号

相关文章

【树叶科技与众不同】凭借对设计的热爱和执着,互联网营销趋势的敏锐洞察和深刻理解,与众多同行不同的是,树叶科技更注重与客户互促共生,价值同在。
本圈子所有内容若需转载请 联系我们。

客服中心

(点击按钮可通过QQ进行沟通,请确认启动QQ。)

关闭
业务相关,请咨询售前客服。为避免丢失消息,请尽量添加好友
周经理:
13559621427

处理:投诉、建议、代理、大客户

我们会全力以赴满足您的服务请求

公司地址:泉州市晋江青阳街道顶立大厦3楼
电话:13559621427

Hi,您需要什么服务?我来帮您!

Hi,Are you ready?

准备好开始了吗?
那就与我们取得联系吧

有一个互联网项目想和我们谈谈吗?您可以填写右边的表格,让我们了解您的项目需求,这是一个良好的开始,我们将会尽快与你取得联系。当然也欢迎您给我们写信或是打电话,让我们听到你的声音!

SHUYE NET 树叶网络互联网整合解决方案

地址:泉州市晋江青阳街道顶立大厦3楼

业务热线:13559621427

大客户专线:13559621427

售前QQ:有问题请联系我 有问题请联系我 有问题请联系我 有问题请联系我

E-mail:Admin@0595zx.net

合作意向表

您希望我们为您提供什么服务?

预算