近日，SINE安全監(jiān)測中心監(jiān)控到泛微OA系統(tǒng)被爆出存在高危的sql注入漏洞，該移動辦公OA系統(tǒng)，在正常使用過程中可以偽造匿名身份來進(jìn)行SQL注入攻擊，獲取用戶等隱私信息，目前該網(wǎng)站漏洞影響較大，使用此E-cology的用戶，以及數(shù)據(jù)庫oracle都會受到該漏洞的攻擊，經(jīng)過安全技術(shù)的POC安全測試，發(fā)現(xiàn)漏洞的利用非常簡單，危害較大，可以獲取管理員的賬號密碼，以及webshell。

該OA系統(tǒng)漏洞的產(chǎn)生原因主要是泛微里的WorkflowCenterTreeData接口存在漏洞，在前端進(jìn)行提交參數(shù)過程中沒有對其進(jìn)行安全效驗與過濾，導(dǎo)致可以插入oracle sql語句拼接成惡意的注入語句到后端服務(wù)器中去，造成sql注入攻擊對數(shù)據(jù)庫可以進(jìn)行增，刪，讀，獲取用戶的賬號密碼，目前的安全情況，泛微官方并沒有對該漏洞進(jìn)行修復(fù)，也沒有任何的緊急的安全響應(yīng)，所有使用泛微的E-cology OA辦公系統(tǒng)都會受到攻擊。

什么是泛微OA系統(tǒng)?簡單來介紹一下，該系統(tǒng)是以公司辦公為核心，提供快捷方便的辦公網(wǎng)絡(luò)，所有的公司辦公都在泛微OA系統(tǒng)上實現(xiàn)，大大的提高辦公效率以及溝通效率，可視化，電子合同，電子蓋章，存證，身份安全認(rèn)證，語音話，協(xié)同辦公，給公司的運營帶來了極大的方便。該OA系統(tǒng)版本覆蓋70多個行業(yè)，根據(jù)行業(yè)屬性量身定制，還可以APP端協(xié)同辦公。泛微OA系統(tǒng)采用JAVA+oracle數(shù)據(jù)庫架構(gòu)開發(fā)，國內(nèi)使用該OA網(wǎng)站系統(tǒng)的公司達(dá)到上萬家，廣東省使用該系統(tǒng)的公司數(shù)量最多，緊跟其后的是四川省，再就是河南省，上海市等地區(qū)。

網(wǎng)站漏洞POC及網(wǎng)站安全測試

我們來看下WorkflowCenterTreeData接口的代碼是如何寫的，如下圖：當(dāng)這個接口從前端接收到傳遞過來的參數(shù)的時候，沒有對其進(jìn)行詳細(xì)的安全檢測與過濾導(dǎo)致直接可以插入惡意的SQL注入語句拼接進(jìn)來，傳遞到服務(wù)器的后端執(zhí)行，導(dǎo)致網(wǎng)站sql注入漏洞的產(chǎn)生?？梢圆樵儺?dāng)前網(wǎng)站的OA系統(tǒng)管理員賬號密碼，通過解密可以登錄后臺并直接操作后臺系統(tǒng)，查看公司的辦公情況，用戶的數(shù)據(jù)可導(dǎo)致被泄露，嚴(yán)重的可以在后臺上傳webshell，也就是網(wǎng)站木馬文件，獲取linux服務(wù)器的權(quán)限。

關(guān)于該泛微OA網(wǎng)站漏洞的修復(fù)與建議：

目前官方還未發(fā)布網(wǎng)站漏洞補丁，建議網(wǎng)站運營者對get,post方式的提交做sql注入語句的安全檢測與攔截，可以部署到nginx,以及apache前端環(huán)境當(dāng)中，或者對WorkflowCenterTreeData接口的代碼進(jìn)行注釋，停止該接口的功能使用，對網(wǎng)站后臺地址進(jìn)行更改，如果對代碼不是太懂的話也可以找專業(yè)的網(wǎng)站安全公司來處理，國SINESAFE，啟明星辰，綠盟都是比較不錯的安全公司。也可以對網(wǎng)站的管理員賬號密碼進(jìn)行更改，以數(shù)字+字母+大小寫等組合10位密碼以上來防止該網(wǎng)站漏洞的攻擊。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗，每一個項目承諾做到滿意為止，多一次對比，一定讓您多一份收獲！