MetInfo

根据《米拓企业 建站 系统最终用户授权许可协议》中的“无论以任何用途、程度、方式（修改或美化），只要使用MetInfo的整体或任何部分，未获得版权标识修改许可，网站页面的版权标识（Powered by MetInfo）和米拓信息下属网站（www.metinfo.cn、www.mituo.cn）的链接都必须保留”，无论如何，网站未获得版权标识修改许可，不能去除米拓信息下属网站的超链接，不得去除“Powered by MetInfo”，不能使用CSS、JS或其他方式将米拓信息的相关版权标识隐藏而不在网页显示，也不能将版权标识颜色故意设置为和网页对应区块背景色一致从而导致版权标识不可见或不明显。 网站未获得版权标识修改许可，访问者浏览网站时，无法查看到米拓信息的相关版权标识、虽显示了版权标识但版权标识文字颜色或字体大小无法辨认、虽版权标识可见但无法通过超链接点击进入米拓信息下属网站均构成侵权。 米拓官方郑重提醒所有用户，米拓企业建站系统可以免费用于商业网站，但请大家务必尊重知识产权，以免因侵权而给自己带来法律风险，对于知识产权的保护，米拓是认真的！ 来源： oschina 链接： https://my.oschina.net/u/659437/blog/3160564

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 使用米拓企业建站系统搭建网站，访问网站域名时出现问题，用我们蹩脚的英文读一读大约意思是：“数据库报错，1045，你可以到www.metinfo.cn寻求帮助”。然后，线上搜索“数据库1045”出现一堆关于mySQL的教程。我只是想解决一个网站问题，我怎么这么难！ ​ 其实问题没有那么复杂，出现此问题原因是：主机根目录下的程序文件中保存的数据库密码，跟主机商提供的数据库密码不一致，可以按照以下步骤解决问题： 1、联系主机商获取最新的mysql数据库账号和密码； 2、修改主机根目录config文件夹下config_db.php的数据库账号密码信息。如图，找到并打开config_db.php文件，找到con_db_pass参数，填写正确的数据库用户名密码，修改后保存，再访问域名即可发现网站已经能正常访问。 来源： oschina 链接： https://my.oschina.net/u/659437/blog/3155689

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 使用MetInfo（米拓企业 建站 系统）搭建的网站，在网站后台更新内容，但是访问域名时前台显示的内容还是之前的信息，出现这种问题该如何解决？ 可以按照以下步骤排查、检测、处理问题： 1、本地浏览器缓存问题：浏览器缓存严重时，可能看不到更新的信息，可以清理浏览器缓存或更换浏览器再访问看下网站。（本条无效，则进入第二步） 2、网站设置了静态化：查看网站是否开启静态页面，如开启了静态化，重新生成静态页面（见下图）。操作方式：进入网站可视化后台点击头部菜单“seo”，点击“静态页面设置”，再点击“静态页面生成”。（本条无效，则进入第三步） 具体设置请见：米拓企业建站系统使用手册第15章第15.4.1节 3、文件夹权限问题：检查根目录下cache文件夹和templates文件夹是否有可读可写权限（777权限），无可读可写权限可能导致修改内容不生效，开启权限需要到主机平台操作，不清楚如何操作可联系主机商处理。（本条无效，则进入第四步） 4、检查网站是否有被黑，网站如果被黑了，首页文件可能已被替换，导致修改内容后无效，网站被黑可参考教程处理： https://edu.metinfo.cn/faq/126.html 来源： oschina 链接： https://my.oschina.net/u/659437/blog

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 工信部要求所有已备案的网站，必须在网站底部加上 ICP 备案号，且点击能跳转到工信部网站。使用米拓企业 建站 系统搭建好网站后，该如何在网站底部添加备案号并且加上超链接呢？ 1、进入网站可视化后台，点击头部菜单“更多”----“基本信息”。 2、在“基本信息”设置页面，“其他信息”的编辑器中，输入备案号。鼠标选中备案号，再点击编辑器上的“超链接”，在弹出的窗口中，链接地址填写工信部网站网址，点击确认，最后保存整个页面设置，如下图所示。 3、完成以上设置之后，在网站后台清空缓存，再访问网站，就可以看到备案号已经添加上了链接！ 来源： oschina 链接： https://my.oschina.net/u/659437/blog/3154669

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 用户购买MetInfo（米拓企业建站系统）网站模板后，自行安装网站时，经常遇到No permission 提示的报错，出现这种提示的原因是什么？该如何处理呢？ 出现这个提示都是安装方法错误导致：用户购买后，在米拓用户中心新购买的站点上，点击“获取源码”下载的网站模板，仅仅是收费模板的源码，需要基于米拓企业建站系统使用，不能直接把模板文件放在根目录安装（如下图所示）。如果直接将模板放在根目录下，那么访问域名时，就会出现No permission 提示。 尤其是购买后的首次安装，必须按照“先安装网站程序，然后启用网站模板”的次序，完成首次安装。具体安装方法请参考使用手册： 安装程序见米拓企业建站系统使用手册第3章 安装模板见米拓企业建站系统使用手册第20章第20.3节 程序下载链接： https://www.mituo.cn/download/ 来源： oschina 链接： https://my.oschina.net/u/659437/blog/3154499

2018年11月23日SINE网站安全检测平台，检测到MetInfo最新版本爆出高危漏洞，危害性较大，影响目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本，该网站漏洞产生的主要原因是MetInfo的上传代码里的参数值没有进行安全过滤，导致上传路径这里进行伪造路径，并可以插入恶意的代码，以及特殊字符进行上传图片到MetInfo的后台。 MetInfo也叫米拓企业网站建站系统，是目前大多数企业网站使用的一个建站系统，整个系统采用的是php+mysql数据库作为基础架构，支持多功能语言版本以及html静态优化，可视化简单操作，可以自己定义编写API接口，米拓官方提供免费的模板供企业网站选择、网站加速，补丁在线升级，移动端自适应设计，深受广大建站公司的喜欢。 metinfo 漏洞详情利用与metinfo 网站漏洞修复 目前最新的版本以及旧的版本，产生漏洞的原因以及文件都是图片上传代码里的一些代码以及参数值导致该漏洞的产生，在上传图片中，远程保存图片功能参数里可以对传入的远程路径值得函数变量进行修改与伪造，整个metinfo系统并没有对该变量值进行严格的检查，导致攻击者可以利用SQL注入代码进行攻击，我们来测试代码，www*****com/?%23.png加了百分比符合可以绕过远程上传图片的安全过滤，metinfo后台会向目标网址进行请求下载，进而造成漏洞攻击。

metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞，可以直接拿到网站管理员的权限，网站漏洞影响范围较广，包括目前最新的metinfo版本都会受到该漏洞的攻击，该metinfo漏洞产生的主要原因是可以绕过metinfo的安全过滤函数，导致可以直接插入恶意的sql注入语句执行到网站的后端里去，在数据库里执行管理员操作的一些功能，甚至可以直接sql注入到首页文件index.php去获取到管理员的账号密码，进而登录后台去拿到整个网站的权限。 metinfo程序企业网站被入侵的症状是首页文件被篡改,被替换增加了一些加密的代码如图：网站在各大搜索引擎中的快照内容被修改,而且打开网站后会被跳转到一些赌bo网站,严重影响客户访问公司企业网站的信誉度。 metinfo是国内用的比较的一个建站系统，许多中小企业都在使用这套cms系统，简单，快捷，可视化，是新手都可以设计网页的一个系统，超强大，这次漏洞影响范围较大，9月26号发布的最新版都有这个网站漏洞，SINE安全预计接下来的时间将会有大量的企业网站被黑，请给位网站运营者尽快的做好网站漏洞修复工作，以及网站的安全加固防护。 metinfo使用了很多年了，开发语言是PHP脚本语言开发的，数据库采用mysql数据库，开发简单快捷，从之前就不断的爆出漏洞，什么远程代码执行漏洞，管理员账号密码篡改漏洞，XSS跨站等等。

近日，我们SINE安全对metinfo进行网站安全检测发现，metinfo米拓建站系统存在高危的sql注入漏洞，攻击者可以利用该漏洞对网站的代码进行sql注入攻击，伪造恶意的sql非法语句，对网站的数据库，以及后端服务器进行攻击，该metinfo漏洞影响版本较为广泛，metinfo6.1.0版本，metinfo 6.1.3版本，metinfo 6.2.0都会受到该网站漏洞的攻击。 metinfo建站系统使用的PHP语言开发，数据库采用的是mysql架构开发的，在整体的网站使用过程中，简单易操作，可视化的对网站外观进行设计，第三方API接口丰富，模板文件较多，深受企业网站的青睐，建站成本较低可以一键搭建网站，目前国内使用metinfo建站的网站数量较多，该metinfo漏洞会使大部分的网站受到攻击影响，严重的网站首页被篡改，跳转到其他网站，以及网站被劫持跳转到恶意网站上，包括网站被挂马，快照被劫持等情况都会发生。 关于该metinfo漏洞的分析，我们来看下漏洞产生的原因： 该漏洞产生在member会员文件夹下的basic.php代码文件： metinfo独有的设计风格，使用了MVC框架进行设计，该漏洞的主要点在于使用了auth类的调用方式，在解码加密过程的算法中出现了问题，我们再来看下代码： 通常加密，以及解密的算法是不可以可逆的，但是metinfo写的代码可以进行伪造函数值进行逆算

Metinfo CMS系统被爆出网站存在漏洞，可上传任意文件到网站根目录下，从而使攻击者可以轻易的获取网站的webshell权限，对网站进行篡改与攻击，目前该网站漏洞影响范围是Metinfo 6.2.0最新版本，以及以前的所有Metinfo版本都可以利用，关于该Metinfo漏洞的详情我们来详细的分析： 首先该网站漏洞的利用前提是windows系统，PHP语言的版本是小于5.3，相当于旧的服务器都会按照这个环境来配置网站，我们来看下出现漏洞的代码，Metinfo在上传方面写了一个专门的上传功能，非常的强大，使用doupfile进行上传，我们来看下代码，如下图所示： 我们从上面的代码中可以看出上传文件有一些模式，还有变量的信息，info这个变量是可以控制的，我们看下upfile跟upload调用的方法是什么作用，追踪分析代码发现这个是用来存储上传文件的路径信息的，这2个变量值会直接将上传的路径给改变，这也是该漏洞产生的原因，我们接着继续分析代码的漏洞，Metinfo在使用doupfile上传的时候回对上传的文件名进行安全过滤，基本的一些脚本文件都已经过滤掉了，只能上传一些图片格式的文件，使用白名单安全机制对上传进行了严格的安全限制。 看来通过改变上传文件的格式是没有办法绕过上传，我们继续分析代码，上传文件的路径这里可以进行目录的更改,发现代码有编码的转化功能，如果路径里含有.