97成人午夜福利在线观看_超碰福利亚洲_国产午夜福利影音资源网站_扒开两腿做爽爽视频_亚洲国产成人麻豆精品_日韩欧美亚洲_天天靠逼泡妞视频_国产成人久久AV高清_欧美a√在线免费观看_精品毛片网站在线观看

目錄
目錄X

【重要】.Net 2.0系列產(chǎn)品5.7版升級(jí)及安全加固公告

尊敬的動(dòng)易用戶:

動(dòng)易軟件.Net 2.0系列產(chǎn)品5.6版本及更低版本的產(chǎn)品中,包括SmartGov、SiteFactory、SmartSchool、BizIdea等產(chǎn)品,近日發(fā)現(xiàn)存在SQL注入漏洞和后臺(tái)任意文件生成漏洞。

漏洞等級(jí):極度危險(xiǎn),強(qiáng)烈推薦升級(jí)至最新5.7版本。

如果是商業(yè)客戶,請(qǐng)聯(lián)系我們的銷售或客服人員以獲取商業(yè)版本的產(chǎn)品包和升級(jí)更新包。

如果是定制過(guò)功能的商業(yè)客戶,請(qǐng)先按照措施四中的方法修改標(biāo)簽以修復(fù)漏洞。

如果是標(biāo)準(zhǔn)版用戶,請(qǐng)點(diǎn)此進(jìn)入下載中心下載5.7版。

漏洞具體表現(xiàn)為:

一、在服務(wù)器防護(hù)不足的情況下,極有可能被黑客利用并向數(shù)據(jù)庫(kù)中注入惡意數(shù)據(jù),從而實(shí)現(xiàn)非法獲取網(wǎng)站后臺(tái)管理目錄、將普通管理員提升為超管、生成任意文件等高危操作,繼而導(dǎo)致網(wǎng)站被掛馬、快照被劫持等惡劣情況。

二、網(wǎng)站在運(yùn)營(yíng)過(guò)程中存在以下安全薄弱問(wèn)題,將導(dǎo)致黑客有機(jī)會(huì)以超級(jí)管理員身份進(jìn)入網(wǎng)站后臺(tái):

1. 網(wǎng)站后臺(tái)管理驗(yàn)證碼為默認(rèn)的8888或其它過(guò)于簡(jiǎn)單的字符;

2. 網(wǎng)站后臺(tái)管理目錄為默認(rèn)的Admin或其它過(guò)于簡(jiǎn)單的字符;

3. 網(wǎng)站后臺(tái)管理認(rèn)證碼與網(wǎng)站后臺(tái)目錄設(shè)置為相同的字符;

4. 管理員密碼哈希值為默認(rèn)的PowerEasy或其它過(guò)于簡(jiǎn)單的字符;

5. 存在密碼過(guò)于簡(jiǎn)單的管理員賬戶;

6. 管理員賬戶、密碼與其它互聯(lián)網(wǎng)平臺(tái)上的一致,導(dǎo)致密碼被撞庫(kù)攻擊命中。

我司在發(fā)現(xiàn)這些漏洞后,在第一時(shí)間組織公司全體研發(fā)力量修補(bǔ)該漏洞,現(xiàn)已發(fā)布動(dòng)易軟件.NET2.0 系列產(chǎn)品5.7版最新程序及相應(yīng)升級(jí)包。5.7版程序中已經(jīng)修復(fù)了SQL注入過(guò)濾不嚴(yán)和任意文件生成的問(wèn)題,同時(shí)還對(duì)產(chǎn)品內(nèi)置的所有標(biāo)簽(大概一千多個(gè))進(jìn)行了檢查,將標(biāo)簽的參數(shù)的數(shù)據(jù)類型統(tǒng)一進(jìn)行了規(guī)范化處理,因此我們強(qiáng)烈建議您立即下載并升級(jí)您的網(wǎng)站。

此次SQL注入漏洞的根源在于SQL注入過(guò)濾方法的邏輯不嚴(yán)密,沒(méi)有遞歸過(guò)濾直到過(guò)濾掉所有攻擊代碼,而設(shè)計(jì)師在制作標(biāo)簽時(shí)為了容易調(diào)試,沒(méi)有嚴(yán)格按照規(guī)范設(shè)置標(biāo)簽參數(shù)的數(shù)據(jù)類型。雙重疊加導(dǎo)致了SQL注入漏洞的產(chǎn)生。因此可以采用“升級(jí)到5.7版”或“修改標(biāo)簽參數(shù)的數(shù)據(jù)類型”兩種方法中的任何一個(gè)都可以修復(fù)漏洞。但我們建議兩者都進(jìn)行,以確保安全。

除把網(wǎng)站升級(jí)至5.7版外,我們還強(qiáng)烈建議您按本文末的措施對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)站后臺(tái)進(jìn)行安全設(shè)置和檢查,以全面排除安全隱患,徹底清除可能存在的木馬文件和惡意注入的數(shù)據(jù),確保網(wǎng)站安全!

我司將認(rèn)真分析本次漏洞產(chǎn)生的原因,深刻檢討產(chǎn)品研發(fā)流程,改進(jìn)編碼規(guī)范,切實(shí)落實(shí)產(chǎn)品安全研發(fā)制度,盡一切努力,避免同類安全漏洞再次出現(xiàn)在產(chǎn)品中!

給您帶來(lái)的不便,我們深表歉意!

感謝您對(duì)動(dòng)易軟件的支持和理解。

廣東動(dòng)易軟件股份有限公司

2017年7月6日

【注意】

如果您的網(wǎng)站因?qū)嵤┻^(guò)定制改造、第三方功能開(kāi)發(fā)等原因而不便升級(jí)到5.7版,您可以在執(zhí)行完本文措施一至措施三之后,按措施四的方法對(duì)網(wǎng)站上的標(biāo)簽進(jìn)行檢查和修改,保證允許AJAX訪問(wèn)的標(biāo)簽沒(méi)有supersql(SQL超級(jí)參數(shù)型)類型的參數(shù)或含有supersql類型參數(shù)的標(biāo)簽不允許AJAX訪問(wèn),則仍能有效防止SQL注入漏洞被黑客利用。在產(chǎn)品升級(jí)包中,我們除了提供升級(jí)程序外,還提供了修復(fù)后的產(chǎn)品默認(rèn)標(biāo)簽,如果您沒(méi)有修改過(guò)這些產(chǎn)品默認(rèn)標(biāo)簽,則可以直接替換。如果修改過(guò),則要對(duì)比修改。對(duì)于您自行編寫(xiě)的標(biāo)簽,或者設(shè)計(jì)師在項(xiàng)目中編寫(xiě)的標(biāo)簽,即非產(chǎn)品自帶的默認(rèn)標(biāo)簽,也需要全部排查和修復(fù),以免有疏漏。

措施一:檢查網(wǎng)站是否已被黑客入侵

http:/tech.powereasy.net/Item/4304.aspx

措施二:木馬文件及惡意注入數(shù)據(jù)清理

http:/tech.powereasy.net/Item/4306.aspx

措施三:服務(wù)器和網(wǎng)站安全加固

http:/tech.powereasy.net/Item/4305.aspx

措施四:不便升級(jí)的應(yīng)對(duì)措施

http:/tech.powereasy.net/Item/4308.aspx

延伸閱讀:動(dòng)易SiteFactory等產(chǎn)品5.7版以前版本的漏洞產(chǎn)生原因和利用方法

http:/tech.powereasy.net/Item/4317.aspx

 

 

【打印正文】 發(fā)布時(shí)間:2017-07-06 10:00:00 瀏覽次數(shù): 作者:動(dòng)易軟件 來(lái)源:本站原創(chuàng)
×

用戶登錄