这是一个创建于 203 天前的主题,其中的信息可能已经有所发展或是发生改变。
不懂就问 公司网站出现 sql 注入漏洞 p10 级别,除了找网站建设者付费修复,一般网站建设者会提供源码给公司员工修复吗?
 |
1
googlefans 203 天前
公司网站有什么用?就是展示展示简介产品等 让他们随便注入
|
 |
2
kphcdr 203 天前
业内规则是,如果网站建设者把源代码提供给你了,那么后续就不再提供其他维护服务了
|
 |
3
sud0day 203 天前
@googlefans 注入出管理员账号,登陆后台,改你页面 你就老实了
|
 |
4
DIO 202 天前
@googlefans 直接把公司邮箱和电话改了,诈骗一波走人。公司承担得起吗
|
 |
5
jiangbingo OP @googlefans 收到地方政府发过来的整改信了。
|
|
6
jiangbingo OP @kphcdr 只能任由网站建设者单方面报价修补?而且不提供额外的保障。
|
 |
7
washangshuang01 202 天前
自己套一层 WAF
|
 |
8
julyclyde 202 天前
看你们和建设者的合同啊
合同期内发现这属于质量问题 合同期外那就自己改吧 |
|
9
googlefans 201 天前
把端口什么的都关了
|
|
10
jiangbingo OP 政府扫描到 p10 级别,sqlmap 工具显示 sql 注入登录到数据库了里了,并要求整改。网站属于第三方公司创建,运行在阿里云平台。
|
 |
11
realpg PRO @jiangbingo #6
500 块钱找淘宝重做一个 |
 |
12
dode 157 天前
套一层 web waf 拦截这个漏洞,临时处理
|
|
13
dode 157 天前
下次签合同要求,无条件修复已知安全漏洞
|
|
14
dode 157 天前
要求交付源代码
|
|
15
jiangbingo OP @dode 诸多事项,我无相关常识和经验。 第一,无条件修复已知或者未知安全漏洞和交付源代码是否是业内常规操作? 第二,ps -ef 分析托管在阿里云平台的进程,感觉是 php 实现前后端,公司里是否得聘请专人维护?
|
Select Language