当前位置: 首页 > news >正文

优化是企业通过网站来做吗/金昌网站seo

优化是企业通过网站来做吗,金昌网站seo,做盗版电影网站问题,燕郊网站建设jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,window…

jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linux centos系统。

我们来简单的了解下什么是jeecms系统,该系统主要是针对内容文章管理的一个系统,支持微信,以及公众号,移动电脑端自适应的模板系统,开发强大,安全,稳定,优化好,很多程序文件夹做了详细的安全权限分配,禁止直行java脚本文件,jeecms可以全站生成静态文件html,可视化的前端外观设计,丰富的第三方API接口,使得该系统深受广大建站爱好者的喜欢。

jeecms 网站漏洞分析

jeecms漏洞发生的原因是在于网站的上传功能,存在可以绕过安全拦截,直接将jsp格式的网站木马文件上传到服务器中去,由于该上传组件含有远程调用图片链接的功能,导致调用的是并没有做详细的安全过滤,没有限制远程图片的格式,导致可以将任意格式的文件上传到网站当中去。我们来看下代码:

当我们使用远程调用图片功能的时候,会使用前端的upfile函数去调用,然后经过separate的安全分隔符来进行确认文件的格式,导致没有任何的安全验证就可以上传文件,导致网站漏洞的发生。

我们本地电脑搭建下环境,java+mysql环境,apache,使用官方下载的V7版本,我们本地构造上传的页面代码如下:

<form action="http://127.0.0.1:8080/ueditor/getRemoteImage.jspx" method="post"

enctype="multipart /form-data">

<input name="upfile" value="ue_separate_ue">

<input type="submit">

</form>

然后将我们远程图片链接地址写上,http://127.0.0.1:8080/webshell.jsp点提交直接绕过Jeecms的安全检测系统,上传成功,远程图片抓取成功的提示,在上传过程中会直接返回文件的地址路径。

jeecms 网站漏洞修复与建议

目前通过搜索查询到使用jeecms的网站达到上万个,使用该jeecms建站的网站运营者,请尽快升级网站系统到最新版V9版本,自己公司技术有限的,请将远程上传图片功能去掉,ueditor目录下的getRemoteImage.jspx文件删除掉,或者更名,如果自己对代码不是太熟悉话,也可以找专业的网站安全公司处理。

http://www.lbrq.cn/news/198433.html

相关文章:

  • 望都网站建设/常州seo博客
  • 西宁网站建设/中囯联通腾迅
  • 免费做网站/公司推广策划方案
  • 网站建设类公司排名/最新足球消息
  • 腾讯建站平台官网/接广告的平台
  • 校园网站建设方案/2021年中国关键词
  • 网站第三方统计工具下载/成都私人网站建设
  • 怎样做网站快手刷粉/免费域名注册平台有哪些
  • 网站建设应该学什么/如何进行seo搜索引擎优化
  • 如何做古诗词网站/seo外包推广
  • 做明星简介网站侵权吗/郑州网站开发顾问
  • 京东联盟的网站怎么做的/cilimao磁力猫搜索引擎
  • html5 app开发工具/长春百度关键词优化
  • 微商城手机网站制作/小辉seo
  • PHP做的彩票网站好用吗/sem培训班培训多少钱
  • 海纳企业网站建设模板/网站提交入口百度
  • 网站建设环境分析/网络营销产品策略的内容
  • 网站上文章加入音乐是怎么做的/东莞公司seo优化
  • 东莞手机网站站定制开发/seo排名哪家正规
  • 上海源码网站建设公司/google adsense
  • 柳州建设网站经济适用房表格/商品推广软文800字
  • 网站外包价格/网络营销的推广方式
  • 企业网站备案那么麻烦吗/百度助手官网
  • 湖州网站制作公司/怎样制作免费网页
  • 金华网站建设电话/站长工具使用方法
  • 济南建网站/信息流优化师简历
  • 青岛企业网站建设公司/网站公司
  • 中国站长工具/网络营销推广策划方案
  • tp框架做商城网站怎么用缓存/百度seo流量
  • 图片网站 seo/seo计费系统源码
  • 2025年5大国产ETL工具横向评测
  • x3CTF-2025-web-复现
  • 【C++详解】STL-stack、queue的模拟实现,容器适配器,deque双端队列介绍
  • NumPy, SciPy 之间的区别
  • Jfinal+SQLite java工具类复制mysql表数据到 *.sqlite
  • 深入探讨Hadoop YARN Federation:架构设计与实践应用