滚球哪个平台好

接待到临 广东动易软件股分无限公司官网
| | 售前:4008-300-618

【主要】.Net 2.0系列产物5.7版进级及宁静加固通知布告

尊重的动易用户:

动易软件.Net 2.0系列产物5.6版本及更低版本的产物中,包含SmartGov、SiteFactory、SmartSchool、BizIdea等产物,克日发明存在SQL注入缝隙和背景肆意文件天生缝隙。

缝隙品级:极端风险,激烈保举进级至最新5.7版本。

若是是贸易客户,请接洽咱们的发卖或客服职员以获得贸易版本的产物包和进级更新包。

若是是定制过功效的贸易客户,请先根据办法四中的体例点窜标签以修复缝隙。

若是是标准版用户,请点此进入下载中间下载5.7版。

缝隙具体表现为:

一、在办事器防护缺乏的情况下,极有能够被黑客操纵并向数据库中注入歹意数据,从而完成不法获得网站背景办理目次、将通俗办理员晋升为超管、天生肆意文件等高危操纵,继而致使网站被挂马、快照被挟制等卑劣情况。

二、网站在经营进程中存在以下宁静软弱题目,将致使黑客无机会以超等办理员身份进中计站背景:

1. 网站背景办理考证码为默许的8888或别的过于简略的字符;

2. 网站背景办理目次为默许的Admin或别的过于简略的字符;

3. 网站背景办理认证码与网站背景目次设置为不异的字符;

4. 办理员暗码哈希值为默许的PowerEasy或别的过于简略的字符;

5. 存在暗码过于简略的办理员账户;

6. 办理员账户、暗码与别的互联网平台上的分歧,致使暗码被撞库进犯射中。

我司在发明这些缝隙后,在第临时候构造公司全数研发气力修补该缝隙,现已宣布动易软件.NET2.0 系列产物5.7版最新法式及响应进级包。5.7版法式中已修复了SQL注入过滤不严和肆意文件天生的题目,同时还对产物内置的统统标签(大要一千多个)停止了查抄,将标签的参数的数据范例同一停止了标准化处置,是以咱们激烈倡议您当即下载并进级您的网站。

这次SQL注入缝隙的本源在于SQL注入过滤体例的逻辑不周密,不递归过滤直到过滤掉统统进犯代码,而设想师在建造标签时为了轻易调试,不严酷根据标准设置标签参数的数据范例。双堆叠加致使了SQL注入缝隙的发生。是以能够接纳“进级到5.7版”或“点窜标签参数的数据范例”两种体例中的任何一个都能够修复缝隙。但咱们倡议二者都停止,以确保宁静。

除把网站进级至5.7版外,咱们还激烈倡议您按本文末的办法对办事器、数据库、网站背景停止宁静设置和查抄,以周全解除宁静隐患,完全断根能够存在的木马文件和歹意注入的数据,确保网站宁静!

我司将当真阐发本次缝隙发生的缘由,深入查抄产物研发流程,改良编码标准,实在落实产物宁静研发轨制,尽统统尽力,避免同类宁静缝隙再次呈现在产物中!

给您带来的方便,咱们深表歉意!

感激您对动易软件的撑持和懂得。

广东动易软件股分无限公司

2017年7月6日

【注重】

若是您的网站因实行过定制革新、第三方功效开辟等缘由而方便进级到5.7版,您能够在履行完本文办法一至办法三以后,按办法四的体例对网站上的标签停止查抄和点窜,保障许可AJAX拜候的标签不supersql(SQL超等参数型)范例的参数或含有supersql范例参数的标签不许可AJAX拜候,则仍能有用避免SQL注入缝隙被黑客操纵。在产物进级包中,咱们除供给进级法式外,还供给了修复后的产物默许标签,若是您不点窜过这些产物默许标签,则能够间接替代。若是点窜过,则要对照点窜。对您自行编写的标签,或设想师在名目中编写的标签,即非产物自带的默许标签,也须要全数排查和修复,以避免有疏漏。

办法一:查抄网站是不是已被黑客入侵

http:/tech.mamibiz.com/Item/4304.aspx

办法二:木马文件及歹意注入数据清算

http:/tech.mamibiz.com/Item/4306.aspx

办法三:办事器和网站宁静加固

http:/tech.mamibiz.com/Item/4305.aspx

办法四:方便进级的应答办法

http:/tech.mamibiz.com/Item/4308.aspx

延长浏览:动易SiteFactory等产物5.7版之前版本的缝隙发生缘由和操纵体例

http:/tech.mamibiz.com/Item/4317.aspx

 

 

【打印注释】 宣布时候:2017-07-06 作者:动易软件 来历:本站首创