网站漏洞检测 泛微OA系统sql注入攻击检测与修复

　 域名预订/竞价，好“米”不错过

近日，SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞，该移动办公OA系统，在正常使用过程中可以伪造匿名身份来进行SQL注入攻击，获取用户等隐私信息，目前该网站漏洞影响较大，使用此E-cology的用户，以及数据库oracle都会受到该漏洞的攻击，经过安全技术的POC安全测试，发现漏洞的利用非常简单，危害较大，可以获取管理员的账号密码，以及webshell。

该OA系统漏洞的产生原因主要是泛微里的WorkflowCenterTreeData接口存在漏洞，在前端进行提交参数过程中没有对其进行安全效验与过滤，导致可以插入oracle sql语句拼接成恶意的注入语句到后端服务器中去，造成sql注入攻击对数据库可以进行增，删，读，获取用户的账号密码，目前的安全情况，泛微官方并没有对该漏洞进行修复，也没有任何的紧急的安全响应，所有使用泛微的E-cology OA办公系统都会受到攻击。

什么是泛微OA系统?简单来介绍一下，该系统是以公司办公为核心，提供快捷方便的办公网络，所有的公司办公都在泛微OA系统上实现，大大的提高办公效率以及沟通效率，可视化，电子合同，电子盖章，存证，身份安全认证，语音话，协同办公，给公司的运营带来了极大的方便。该OA系统版本覆盖70多个行业，根据行业属性量身定制，还可以APP端协同办公。泛微OA系统采用JAVA+oracle数据库架构开发，国内使用该OA网站系统的公司达到上万家，广东省使用该系统的公司数量最多，紧跟其后的是四川省，再就是河南省，上海市等地区。