域名預訂/競價，好“米”不錯過

jeecms 最近被爆出高危網(wǎng)站漏洞，可以導致網(wǎng)站被上傳webshell木馬文件，受影響的版本是jeecms V6.0版本到jeecmsV7.0版本。該網(wǎng)站系統(tǒng)采用的是JAVA語言開發(fā)，數(shù)據(jù)庫使用的是oracle,mysql,sql數(shù)據(jù)庫，服務器系統(tǒng)支持windows2008,windows2012,以及l(fā)inux centos系統(tǒng)。

我們來簡單的了解下什么是jeecms系統(tǒng)，該系統(tǒng)主要是針對內(nèi)容文章管理的一個系統(tǒng)，支持微信，以及公眾號，移動電腦端自適應的模板系統(tǒng)，開發(fā)強大，安全，穩(wěn)定，優(yōu)化好，很多程序文件夾做了詳細的安全權限分配，禁止直行java腳本文件，jeecms可以全站生成靜態(tài)文件html，可視化的前端外觀設計，豐富的第三方API接口，使得該系統(tǒng)深受廣大建站愛好者的喜歡。

jeecms 網(wǎng)站漏洞分析

jeecms漏洞發(fā)生的原因是在于網(wǎng)站的上傳功能，存在可以繞過安全攔截，直接將jsp格式的網(wǎng)站木馬文件上傳到服務器中去，由于該上傳組件含有遠程調(diào)用圖片鏈接的功能，導致調(diào)用的是并沒有做詳細的安全過濾，沒有限制遠程圖片的格式，導致可以將任意格式的文件上傳到網(wǎng)站當中去。我們來看下代碼：

當我們使用遠程調(diào)用圖片功能的時候，會使用前端的upfile函數(shù)去調(diào)用，然后經(jīng)過separate的安全分隔符來進行確認文件的格式，導致沒有任何的安全驗證就可以上傳文件，導致網(wǎng)站漏洞的發(fā)生。

我們本地電腦搭建下環(huán)境，java+mysql環(huán)境，apache，使用官方下載的V7版本，我們本地構造上傳的頁面代碼如下:

enctype="multipart /form-data">

然后將我們遠程圖片鏈接地址寫上，http://127.0.0.1:8080/webshell.jsp點提交直接繞過Jeecms的安全檢測系統(tǒng)，上傳成功，遠程圖片抓取成功的提示，在上傳過程中會直接返回文件的地址路徑。

jeecms 網(wǎng)站漏洞修復與建議

目前通過搜索查詢到使用jeecms的網(wǎng)站達到上萬個，使用該jeecms建站的網(wǎng)站運營者，請盡快升級網(wǎng)站系統(tǒng)到最新版V9版本，自己公司技術有限的，請將遠程上傳圖片功能去掉，ueditor目錄下的getRemoteImage.jspx文件刪除掉，或者更名，如果自己對代碼不是太熟悉話，也可以找專業(yè)的網(wǎng)站安全公司處理。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！