女神猫女王

代理加盟 2019全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: 秀站網 > 織夢大學 > 織夢安全 >

阿里云提示織夢dedecms模版SQL注入漏洞修復方法

來源:未知 發布時間:2019-03-19熱度:我要評論
很多用戶用到阿里云服務器,會經常碰到各種安全提示,不得不說阿里云這一塊做的還是很不錯的。今天介紹下【阿里云提示織夢dedecms模版SQL注入漏洞修復方法】。 問題原因: dedecms的/member/soft_add.php中,對輸入模板參數$servermsg1未進行嚴格過濾,導致攻擊者可構...

很多用戶用到阿里云服務器,會經常碰到各種安全提示,不得不說阿里云這一塊做的還是很不錯的。今天介紹下【阿里云提示織夢dedecms模版SQL注入漏洞修復方法】。

問題原因:dedecms的/member/soft_add.php中,對輸入模板參數$servermsg1未進行嚴格過濾,導致攻擊者可構造模版閉合標簽,實現模版注入進行GETSHELL。

關于織夢dedecms模板SQL注入漏洞修復方法,主要是文件/member/soft_add.php。

搜索: $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";   (大概在154行左右)

替換成  

if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) { $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n"; } 

老規矩大紅色地方標記了修改的地方,然后保存,接著備份原文件,然后上傳修改好的文件即可。

本文地址:http://www.qksux.club/dedecms_aq/1046.html

    責任編輯:秀站網

    發表評論

    評論列表(條)

      女神猫女王