近日,SINE安全監(jiān)測(cè)中心監(jiān)控到泛微OA系統(tǒng)被爆出存在高危的sql注入漏洞,該移動(dòng)辦公OA系統(tǒng),在正常使用過(guò)程中可以偽造匿名身份來(lái)進(jìn)行SQL注入攻擊,獲取用戶等隱私信息,目前該網(wǎng)站漏洞影響較大,使用此E-cology的用戶,以及數(shù)據(jù)庫(kù)oracle都會(huì)受到該漏洞的攻擊,經(jīng)過(guò)安全技術(shù)的POC安全測(cè)試,發(fā)現(xiàn)漏洞的利用非常簡(jiǎn)單,危害較大,可以獲取管理員的賬號(hào)密碼,以及webshell。
該OA系統(tǒng)漏洞的產(chǎn)生原因主要是泛微里的WorkflowCenterTreeData接口存在漏洞,在前端進(jìn)行提交參數(shù)過(guò)程中沒(méi)有對(duì)其進(jìn)行安全效驗(yàn)與過(guò)濾,導(dǎo)致可以插入oracle sql語(yǔ)句拼接成惡意的注入語(yǔ)句到后端服務(wù)器中去,造成sql注入攻擊對(duì)數(shù)據(jù)庫(kù)可以進(jìn)行增,刪,讀,獲取用戶的賬號(hào)密碼,目前的安全情況,泛微官方并沒(méi)有對(duì)該漏洞進(jìn)行修復(fù),也沒(méi)有任何的緊急的安全響應(yīng),所有使用泛微的E-cology OA辦公系統(tǒng)都會(huì)受到攻擊。
什么是泛微OA系統(tǒng)?簡(jiǎn)單來(lái)介紹一下,該系統(tǒng)是以公司辦公為核心,提供快捷方便的辦公網(wǎng)絡(luò),所有的公司辦公都在泛微OA系統(tǒng)上實(shí)現(xiàn),大大的提高辦公效率以及溝通效率,可視化,電子合同,電子蓋章,存證,身份安全認(rèn)證,語(yǔ)音話,協(xié)同辦公,給公司的運(yùn)營(yíng)帶來(lái)了極大的方便。該OA系統(tǒng)版本覆蓋70多個(gè)行業(yè),根據(jù)行業(yè)屬性量身定制,還可以APP端協(xié)同辦公。泛微OA系統(tǒng)采用JAVA+oracle數(shù)據(jù)庫(kù)架構(gòu)開(kāi)發(fā),國(guó)內(nèi)使用該OA網(wǎng)站系統(tǒng)的公司達(dá)到上萬(wàn)家,廣東省使用該系統(tǒng)的公司數(shù)量最多,緊跟其后的是四川省,再就是河南省,上海市等地區(qū)。
網(wǎng)站漏洞POC及網(wǎng)站安全測(cè)試
我們來(lái)看下WorkflowCenterTreeData接口的代碼是如何寫(xiě)的,如下圖:當(dāng)這個(gè)接口從前端接收到傳遞過(guò)來(lái)的參數(shù)的時(shí)候,沒(méi)有對(duì)其進(jìn)行詳細(xì)的安全檢測(cè)與過(guò)濾導(dǎo)致直接可以插入惡意的SQL注入語(yǔ)句拼接進(jìn)來(lái),傳遞到服務(wù)器的后端執(zhí)行,導(dǎo)致網(wǎng)站sql注入漏洞的產(chǎn)生??梢圆樵儺?dāng)前網(wǎng)站的OA系統(tǒng)管理員賬號(hào)密碼,通過(guò)解密可以登錄后臺(tái)并直接操作后臺(tái)系統(tǒng),查看公司的辦公情況,用戶的數(shù)據(jù)可導(dǎo)致被泄露,嚴(yán)重的可以在后臺(tái)上傳webshell,也就是網(wǎng)站木馬文件,獲取linux服務(wù)器的權(quán)限。
關(guān)于該泛微OA網(wǎng)站漏洞的修復(fù)與建議:
目前官方還未發(fā)布網(wǎng)站漏洞補(bǔ)丁,建議網(wǎng)站運(yùn)營(yíng)者對(duì)get,post方式的提交做sql注入語(yǔ)句的安全檢測(cè)與攔截,可以部署到nginx,以及apache前端環(huán)境當(dāng)中,或者對(duì)WorkflowCenterTreeData接口的代碼進(jìn)行注釋?zhuān)V乖摻涌诘墓δ苁褂茫瑢?duì)網(wǎng)站后臺(tái)地址進(jìn)行更改,如果對(duì)代碼不是太懂的話也可以找專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)處理,國(guó)SINESAFE,啟明星辰,綠盟都是比較不錯(cuò)的安全公司。也可以對(duì)網(wǎng)站的管理員賬號(hào)密碼進(jìn)行更改,以數(shù)字+字母+大小寫(xiě)等組合10位密碼以上來(lái)防止該網(wǎng)站漏洞的攻擊。
我們專(zhuān)注高端建站,小程序開(kāi)發(fā)、軟件系統(tǒng)定制開(kāi)發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開(kāi)發(fā)、各類(lèi)API接口對(duì)接開(kāi)發(fā)等。十余年開(kāi)發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿意為止,多一次對(duì)比,一定讓您多一份收獲!