更新時間:2024-10-23 08:36:41
建站經驗
625近日,SINE安全監測中心監控到泛微OA系統被爆出存在高危的sql注入漏洞,該移動辦公OA系統,在正常使用過程中可以偽造匿名身份來進行SQL注入攻擊,獲取用戶等隱私信息,目前該網站漏洞影響較大,使用此E-cology的用戶,以及數據庫oracle都會受到該漏洞的攻擊,經過安全技術的POC安全測試,發現漏洞的利用非常簡單,危害較大,可以獲取管理員的賬號密碼,以及webshell。
該OA系統漏洞的產生原因主要是泛微里的WorkflowCenterTreeData接口存在漏洞,在前端進行提交參數過程中沒有對其進行安全效驗與過濾,導致可以插入oracle sql語句拼接成惡意的注入語句到后端服務器中去,造成sql注入攻擊對數據庫可以進行增,刪,讀,獲取用戶的賬號密碼,目前的安全情況,泛微官方并沒有對該漏洞進行修復,也沒有任何的緊急的安全響應,所有使用泛微的E-cology OA辦公系統都會受到攻擊。
什么是泛微OA系統?簡單來介紹一下,該系統是以公司辦公為核心,提供快捷方便的辦公網絡,所有的公司辦公都在泛微OA系統上實現,大大的提高辦公效率以及溝通效率,可視化,電子合同,電子蓋章,存證,身份安全認證,語音話,協同辦公,給公司的運營帶來了極大的方便。該OA系統版本覆蓋70多個行業,根據行業屬性量身定制,還可以APP端協同辦公。泛微OA系統采用JAVA+oracle數據庫架構開發,國內使用該OA網站系統的公司達到上萬家,廣東省使用該系統的公司數量最多,緊跟其后的是四川省,再就是河南省,上海市等地區。
網站漏洞POC及網站安全測試
我們來看下WorkflowCenterTreeData接口的代碼是如何寫的,如下圖:當這個接口從前端接收到傳遞過來的參數的時候,沒有對其進行詳細的安全檢測與過濾導致直接可以插入惡意的SQL注入語句拼接進來,傳遞到服務器的后端執行,導致網站sql注入漏洞的產生。可以查詢當前網站的OA系統管理員賬號密碼,通過解密可以登錄后臺并直接操作后臺系統,查看公司的辦公情況,用戶的數據可導致被泄露,嚴重的可以在后臺上傳webshell,也就是網站木馬文件,獲取linux服務器的權限。
關于該泛微OA網站漏洞的修復與建議:
目前官方還未發布網站漏洞補丁,建議網站運營者對get,post方式的提交做sql注入語句的安全檢測與攔截,可以部署到nginx,以及apache前端環境當中,或者對WorkflowCenterTreeData接口的代碼進行注釋,停止該接口的功能使用,對網站后臺地址進行更改,如果對代碼不是太懂的話也可以找專業的網站安全公司來處理,國SINESAFE,啟明星辰,綠盟都是比較不錯的安全公司。也可以對網站的管理員賬號密碼進行更改,以數字+字母+大小寫等組合10位密碼以上來防止該網站漏洞的攻擊。
我們專注高端建站,小程序開發、軟件系統定制開發、BUG修復、物聯網開發、各類API接口對接開發等。十余年開發經驗,每一個項目承諾做到滿意為止,多一次對比,一定讓您多一份收獲!
