女神猫女王

代理加盟 2019全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: 秀站網 > 織夢大學 > 織夢安全 >

dedecms模版SQL注入漏洞 /member/soft_add.php 修復

來源:未知 發布時間:2019-09-09熱度:我要評論
dedecms的/member/soft_add.php中,對輸入模板參數$servermsg1未進行嚴格過濾,導致攻擊者可構造模版閉合標簽,實現模版注入進行GETSHELL。...

織夢模板免費下載,無需注冊無需充值

dedecms的/member/soft_add.php中,對輸入模板參數$servermsg1未進行嚴格過濾,導致攻擊者可構造模版閉合標簽,實現模版注入進行GETSHELL。

打開文件/member/soft_add.php,搜索(大概在154行):

$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link} ";

替換為

if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) {

$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link} ";

}

 
這樣處理后就對參數驚醒了過濾,存在的漏洞也就修復完成了。
 
以上就是織夢dedecms模版soft_add.php SQL注入漏洞修復方法的全部內容,希望對大家的學習和解決疑問有所幫助。

本文地址:http://www.qksux.club/dedecms_aq/1754.html

責任編輯:秀站網

    發表評論

    評論列表(條)

      女神猫女王 496640149567945364925737354786745454119367367870977375915460037497842643924184617667755992878437999 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();