敬重的动易移动用户：

动易免费软件.Net 2.0类别类新企业产品5.6游戏版本号及更低游戏版本号的类新企业产品中，涉及SmartGov、SiteFactory、SmartSchool、BizIdea等类新企业产品，近来遇到都存在SQL进入缺陷和电脑端容易文件夹转成缺陷。

漏洞等级：极度危险，强烈推荐升级至最新5.7版本。

如果是商业客户，请联系我们的销售或客服人员以获取商业版本的产品包和升级更新包。

如果是定制过功能的商业客户，请先按照措施四中的方法修改标签以修复漏洞。

如果是标准版用户，请点此进入下载中心下载5.7版。

漏洞具体表现为：

一、在功能器个人防护缺点的问题下，极有也许遭黑客利用率并向数剧之中侵入恶性数剧，促使确保违反规定得到网络手机端的管理系统目录格式、将一般的管理系统员升级为超管、绘制指定zip文件等高危性行为工作，随后促使网络被挂马、网页快照劫持等极端问题。 二、公众号在运营的时候中的存在左右应急匮乏现象，将导至顶级黑客有将会会以炒鸡菅理员身份证打开公众号页面： 1. 公司网站电脑端管理制度校验码为默许的8888或沒有太过于简短的字符串； 2. 企业网站电脑端菅理子目录为初始的Admin或一些如此比较简单的空格符； 3. 平台网页独立后台程序菅理身份认证码与平台网页独立后台程序的目录布置为同一的字节； 4. 控制员密匙哈希指标值初始的PowerEasy或其余过度简单的字符串； 5. 具备PIN码有一些简洁的服务操作员企业账户； 6. 安全管理人员账户里的、口令与沒有互连机网电商平台上的不一样，引致口令被撞库普通攻击击中。

我司在发现这些漏洞后，在第一时间组织公司全体研发力量修补该漏洞，现已发布动易软件.NET2.0 系列产品5.7版最新程序及相应升级包。5.7版程序中已经修复了SQL注入过滤不严和任意文件生成的问题，同时还对产品内置的所有标签(大概一千多个)进行了检查，将标签的参数的数据类型统一进行了规范化处理，因此我们强烈建议您立即下载并升级您的网站。

这次SQL添加bug的起源取决SQL添加筛选器手段的逻缉不严谨，没得递归筛选器陪你到筛选器掉各种恶意攻击源代码，而建筑设计师在开发那些固化的标记时方便轻易复位，没得严格执行，并按照规范了放置那些固化的标记产品参数表的数值业务款式。双从堆叠从而导致了SQL添加bug的形成。所以可不就可以通过“提升到5.7版”或“修改图片那些固化的标记产品参数表的数值业务款式”两种方式手段中的丝毫另一个就可以不就可以解决bug。但.我提议三者都参与，以抓好安全保障。 除把站点优化至5.7版外，我们公司还微弱意见和提议您按本诗末的举措对提供服务器系统、资料库、站点后台程序采取健康设定和常规检查，以进一步确诊健康稳定风险，彻底排除排除会有的木马程序资料和虚假进入的资料，加强组织领导站点健康！ 我们将认认真真进行分析此前xssbug引发的因素，印象深刻反省厂品研制开发具体步骤，改进建议识别码正确，确实落实责任厂品稳定研制开发措施，尽凡事拼搏，规避同种稳定xssbug重复导致在厂品中！ 给您介绍的难以，咱们深表歉疚！ 衷心非常感谢对动易手机app的能够和看待。 杭州动易系统软件资产局限新公司 201六年七月份6日

【注意】

若您的平台因执行工作过个性改革、第二方功能键研发等原之所以困扰晋级到5.7版，您能否在执行工作完本篇文章举措一到举措三然后，按举措四的办法对平台上的tag元素采取查和重设，保护不必须要 AJAX采访的tag元素不会supersql(SQL超技术性能指标表型)方式的技术性能指标表或包含的supersql方式技术性能指标表的tag元素不不必须要 AJAX采访，则仍能有用严防SQL流入漏洞补丁被攻击客合理利用。在商品晋级包中，我们公司不但作为晋级系统软件外，还作为了清理后的商品快捷设置tag元素，若您不会重设过以下商品快捷设置tag元素，则能否随便替代。若重设过，则要相对重设。在您私自创作的tag元素，也可以设计方案师在的项目中创作的tag元素，即非商品再带的快捷设置tag元素，也必须要 所有的巡查和清理，为了避免有疏漏。

措施一：检查网站是否已被黑客入侵

http:/tech.youwuye.com/Item/4304.aspx

措施二：木马文件及恶意注入数据清理

http:/tech.youwuye.com/Item/4306.aspx

措施三：服务器和网站安全加固

http:/tech.youwuye.com/Item/4305.aspx

措施四：不便升级的应对措施

http:/tech.youwuye.com/Item/4308.aspx

延伸阅读：动易SiteFactory等产品5.7版以前版本的漏洞产生原因和利用方法

http:/tech.youwuye.com/Item/4317.aspx