metinfo MetInfo最新网站漏洞如何修复以及网站安全防护

metinfo漏洞是2018年10月20日暴露的，有一个sql注入漏洞，可以直接获得网站管理员的权限。该网站漏洞具有广泛的影响，包括metinfo的最新版本将受到该漏洞的攻击。造成这个metinfo漏洞的主要原因是它可以绕过metinfo的安全过滤功能。这样一来，恶意的sql注入语句可以直接在网站后端插入执行，管理员操作的一些功能可以在数据库中执行，甚至可以直接在首页文件的index.php执行sql注入，获取管理员的账号密码，然后登录后台获取整个网站的权限。

metinfo程序企业网站入侵的症状是首页文件被篡改，被替换后增加了一些加密代码。比如各大搜索引擎的网站快照内容被修改，打开网站后会跳转到一些赌bo的网站，严重影响客户访问公司企业网站的可信度。

Metinfo是国内比较常用的网站建设系统。很多中小企业都在使用这个cms系统，简单、快捷、直观。是新手设计网页的系统。它超级强大，这个漏洞影响很大。9月26日发布的最新版本有这个网站漏洞。SINE Security预计下一次会有大量企业网站被黑。请尽快给一个网站运营者做好修复网站漏洞和加强网站安全的工作

Metinfo用了很多年，开发语言是PHP脚本语言，数据库是mysql数据库，开发简单快捷。从之前开始，就不断出现漏洞，比如远程代码执行漏洞、管理员账号密码篡改漏洞、XSS跨站等等。

此metinfo漏洞和漏洞修复的详细信息如下:

这些网站漏洞的本质问题是网站根目录下app文件下的系统目录中的消息代码。消息的sql执行代码为select * from {$ m [table] [config]}，其中lang =' {$ m [form] [lang]} '，name =' met _ fdok '，column d = { $ m[form][id]}。这段代码中没有单引号。因此，可以执行sql注入，并插入恶意参数以绕过metinfo自己的安全过滤系统。此外，inadmin值没有被强制转换和定义，这导致sql过滤功能能够删除用户输入的所有特殊字符。inadmin变量由国内用户在索引主页文件中定义，然后进行sql注入。目前受影响的metinfo版本有Metinfo 6.1.3 MetInfo 6.1.2、MetInfo 6.1.1和MetInfo 5.3.4 5.3.8。请尽快升级最新版本，修复网站漏洞，或者在代码中定制sql注入拦截系统，做好网站安全防护。