怎么修復(fù)泛微e-cology OA系統(tǒng)SQL注入漏洞

這篇文章主要講解了“怎么修復(fù)泛微e-cology OA系統(tǒng)SQL注入漏洞”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“怎么修復(fù)泛微e-cology OA系統(tǒng)SQL注入漏洞”吧！

漏洞概述

2019年10月10日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）公布了泛微e-cology OA系統(tǒng)存在SQL注入漏洞（CNVD-2019-34241）。泛微e-cologyOA系統(tǒng)的WorkflowCenterTreeData接口在使用Oracle數(shù)據(jù)庫(kù)時(shí)，由于內(nèi)置的SQL語(yǔ)句拼接不嚴(yán),導(dǎo)致泛微e-cology OA系統(tǒng)存在SQL注入漏洞。

攻擊者利用該漏洞，可在未授權(quán)的情況下，遠(yuǎn)程發(fā)送精心構(gòu)造的SQL語(yǔ)句，從而獲取數(shù)據(jù)庫(kù)敏感信息。目前，該漏洞PoC已公開(kāi)，官方尚未發(fā)布修復(fù)補(bǔ)丁。

漏洞風(fēng)險(xiǎn)

高風(fēng)險(xiǎn)

影響版本

泛微e-cology OA系統(tǒng) ，且使用oracle數(shù)據(jù)庫(kù)的JSP版本

修復(fù)建議

臨時(shí)緩解措施

1. 使用參數(shù)檢查的方式，攔截帶有SQL語(yǔ)法的參數(shù)傳入應(yīng)用程序；

2. 使用預(yù)編譯的處理方式處理拼接了用戶(hù)參數(shù)的SQL語(yǔ)句；

3. 在參數(shù)即將進(jìn)入數(shù)據(jù)庫(kù)執(zhí)行之前，對(duì)SQL語(yǔ)句的語(yǔ)義進(jìn)行完整性檢查，確認(rèn)語(yǔ)義沒(méi)有發(fā)生變化；

4. 在出現(xiàn)SQL注入漏洞時(shí)，要在出現(xiàn)問(wèn)題的參數(shù)拼接進(jìn)SQL語(yǔ)句前進(jìn)行過(guò)濾或者校驗(yàn)，不要依賴(lài)程序最開(kāi)始處防護(hù)代碼；

5. 定期審計(jì)數(shù)據(jù)庫(kù)執(zhí)行日志，查看是否存在應(yīng)用程序正常邏輯之外的SQL語(yǔ)句執(zhí)行；

6. 禁止受影響系統(tǒng)在公網(wǎng)開(kāi)放。

感謝各位的閱讀，以上就是“怎么修復(fù)泛微e-cology OA系統(tǒng)SQL注入漏洞”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)怎么修復(fù)泛微e-cology OA系統(tǒng)SQL注入漏洞這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！