国产成人a-国产成人99久久亚洲综合精品-国产成人99精品免费视频麻豆-国产成人99精品免-国产成人91一区二区三区-国产成人91亚洲精品无码观看

目錄
目錄X

【重要】.Net 2.0系列產(chǎn)品5.7版升級(jí)及安全加固公告

尊敬的動(dòng)易用戶:

動(dòng)易軟件.Net 2.0系列產(chǎn)品5.6版本及更低版本的產(chǎn)品中,包括SmartGov、SiteFactory、SmartSchool、BizIdea等產(chǎn)品,近日發(fā)現(xiàn)存在SQL注入漏洞和后臺(tái)任意文件生成漏洞。

漏洞等級(jí):極度危險(xiǎn),強(qiáng)烈推薦升級(jí)至最新5.7版本。

如果是商業(yè)客戶,請(qǐng)聯(lián)系我們的銷售或客服人員以獲取商業(yè)版本的產(chǎn)品包和升級(jí)更新包。

如果是定制過(guò)功能的商業(yè)客戶,請(qǐng)先按照措施四中的方法修改標(biāo)簽以修復(fù)漏洞。

如果是標(biāo)準(zhǔn)版用戶,請(qǐng)點(diǎn)此進(jìn)入下載中心下載5.7版。

漏洞具體表現(xiàn)為:

一、在服務(wù)器防護(hù)不足的情況下,極有可能被黑客利用并向數(shù)據(jù)庫(kù)中注入惡意數(shù)據(jù),從而實(shí)現(xiàn)非法獲取網(wǎng)站后臺(tái)管理目錄、將普通管理員提升為超管、生成任意文件等高危操作,繼而導(dǎo)致網(wǎng)站被掛馬、快照被劫持等惡劣情況。

二、網(wǎng)站在運(yùn)營(yíng)過(guò)程中存在以下安全薄弱問(wèn)題,將導(dǎo)致黑客有機(jī)會(huì)以超級(jí)管理員身份進(jìn)入網(wǎng)站后臺(tái):

1. 網(wǎng)站后臺(tái)管理驗(yàn)證碼為默認(rèn)的8888或其它過(guò)于簡(jiǎn)單的字符;

2. 網(wǎng)站后臺(tái)管理目錄為默認(rèn)的Admin或其它過(guò)于簡(jiǎn)單的字符;

3. 網(wǎng)站后臺(tái)管理認(rèn)證碼與網(wǎng)站后臺(tái)目錄設(shè)置為相同的字符;

4. 管理員密碼哈希值為默認(rèn)的PowerEasy或其它過(guò)于簡(jiǎn)單的字符;

5. 存在密碼過(guò)于簡(jiǎn)單的管理員賬戶;

6. 管理員賬戶、密碼與其它互聯(lián)網(wǎng)平臺(tái)上的一致,導(dǎo)致密碼被撞庫(kù)攻擊命中。

我司在發(fā)現(xiàn)這些漏洞后,在第一時(shí)間組織公司全體研發(fā)力量修補(bǔ)該漏洞,現(xiàn)已發(fā)布動(dòng)易軟件.NET2.0 系列產(chǎn)品5.7版最新程序及相應(yīng)升級(jí)包。5.7版程序中已經(jīng)修復(fù)了SQL注入過(guò)濾不嚴(yán)和任意文件生成的問(wèn)題,同時(shí)還對(duì)產(chǎn)品內(nèi)置的所有標(biāo)簽(大概一千多個(gè))進(jìn)行了檢查,將標(biāo)簽的參數(shù)的數(shù)據(jù)類型統(tǒng)一進(jìn)行了規(guī)范化處理,因此我們強(qiáng)烈建議您立即下載并升級(jí)您的網(wǎng)站。

此次SQL注入漏洞的根源在于SQL注入過(guò)濾方法的邏輯不嚴(yán)密,沒(méi)有遞歸過(guò)濾直到過(guò)濾掉所有攻擊代碼,而設(shè)計(jì)師在制作標(biāo)簽時(shí)為了容易調(diào)試,沒(méi)有嚴(yán)格按照規(guī)范設(shè)置標(biāo)簽參數(shù)的數(shù)據(jù)類型。雙重疊加導(dǎo)致了SQL注入漏洞的產(chǎn)生。因此可以采用“升級(jí)到5.7版”或“修改標(biāo)簽參數(shù)的數(shù)據(jù)類型”兩種方法中的任何一個(gè)都可以修復(fù)漏洞。但我們建議兩者都進(jìn)行,以確保安全。

除把網(wǎng)站升級(jí)至5.7版外,我們還強(qiáng)烈建議您按本文末的措施對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)站后臺(tái)進(jìn)行安全設(shè)置和檢查,以全面排除安全隱患,徹底清除可能存在的木馬文件和惡意注入的數(shù)據(jù),確保網(wǎng)站安全!

我司將認(rèn)真分析本次漏洞產(chǎn)生的原因,深刻檢討產(chǎn)品研發(fā)流程,改進(jìn)編碼規(guī)范,切實(shí)落實(shí)產(chǎn)品安全研發(fā)制度,盡一切努力,避免同類安全漏洞再次出現(xiàn)在產(chǎn)品中!

給您帶來(lái)的不便,我們深表歉意!

感謝您對(duì)動(dòng)易軟件的支持和理解。

廣東動(dòng)易軟件股份有限公司

2017年7月6日

【注意】

如果您的網(wǎng)站因?qū)嵤┻^(guò)定制改造、第三方功能開(kāi)發(fā)等原因而不便升級(jí)到5.7版,您可以在執(zhí)行完本文措施一至措施三之后,按措施四的方法對(duì)網(wǎng)站上的標(biāo)簽進(jìn)行檢查和修改,保證允許AJAX訪問(wèn)的標(biāo)簽沒(méi)有supersql(SQL超級(jí)參數(shù)型)類型的參數(shù)或含有supersql類型參數(shù)的標(biāo)簽不允許AJAX訪問(wèn),則仍能有效防止SQL注入漏洞被黑客利用。在產(chǎn)品升級(jí)包中,我們除了提供升級(jí)程序外,還提供了修復(fù)后的產(chǎn)品默認(rèn)標(biāo)簽,如果您沒(méi)有修改過(guò)這些產(chǎn)品默認(rèn)標(biāo)簽,則可以直接替換。如果修改過(guò),則要對(duì)比修改。對(duì)于您自行編寫(xiě)的標(biāo)簽,或者設(shè)計(jì)師在項(xiàng)目中編寫(xiě)的標(biāo)簽,即非產(chǎn)品自帶的默認(rèn)標(biāo)簽,也需要全部排查和修復(fù),以免有疏漏。

措施一:檢查網(wǎng)站是否已被黑客入侵

http:/tech.powereasy.net/Item/4304.aspx

措施二:木馬文件及惡意注入數(shù)據(jù)清理

http:/tech.powereasy.net/Item/4306.aspx

措施三:服務(wù)器和網(wǎng)站安全加固

http:/tech.powereasy.net/Item/4305.aspx

措施四:不便升級(jí)的應(yīng)對(duì)措施

http:/tech.powereasy.net/Item/4308.aspx

延伸閱讀:動(dòng)易SiteFactory等產(chǎn)品5.7版以前版本的漏洞產(chǎn)生原因和利用方法

http:/tech.powereasy.net/Item/4317.aspx

 

 

【打印正文】 發(fā)布時(shí)間:2017-07-06 10:00:00 瀏覽次數(shù): 作者:動(dòng)易軟件 來(lái)源:本站原創(chuàng)
×

用戶登錄

主站蜘蛛池模板: 国产A级毛片色咪味| 女同在线观看亚洲国产精品| 男男挤奶油进去PLAY高污| 久久99热只有频精品6不卡| 国产亚洲精品影视在线| 国产成人精品日本亚洲77上位| 91精品情国产情侣高| 9191精品国产日本欧美| 性无码免费一区二区| 人妻无码高清在线播放| 精品久久久久影院蜜桃| 国产精品毛片一区二区在线| 波多野结衣爽到高潮大喷| 亚洲国产精品无码区在线观| 美女下面揉出水免费视频| 狠狠色狠狠色综合日日五| 国产抖音亚洲综合旡码| 99久久无码一区人妻| 亚洲变态欧美另类精品| 欧美日韩无大香| 精品国产高清自在线看超| 丁香久久婷婷综合激情欧美| 制服丝袜亚洲| 日韩国产一区二区三区在线| 久久久久久久久国产| 国产美女流白浆的免费视| 潮吹无码观看视频在| 香蕉|入口| 久久成人小视频| 国产九九自拍电影在线观看| 91丝袜在线播放| 视频在线观看一区二区三区| 开心色婷婷| 国产女主播喷水视频在线观看| 成人精品一区二区久久| 亚州欧美中文日韩| 久久久久久久久精品天堂无码免费 | 成人伊人青草久久综合网破解版| 真实国产乱子伦精品视频久久久久 | 成人福利视频网| 无码一区中文字幕在线观看|