花魁直播高品质美女在线视频互动社区 - 花魁直播官方版

 歡迎來到素材無憂網(wǎng),按 + 收藏我們
登錄 注冊 退出 找回密碼

阿里云提示織夢dedecms模版SQL注入漏洞修復(fù)方法

時間: 2019-03-13 02:52 閱讀: 作者:素材無憂網(wǎng)

很多用戶用到阿里云服務(wù)器,會經(jīng)常碰到各種安全提示,不得不說阿里云這一塊做的還是很不錯的。今天介紹下【阿里云提示織夢dedecms模版SQL注入漏洞修復(fù)方法】。

問題原因:dedecms的/member/soft_add.php中,對輸入模板參數(shù)$servermsg1未進行嚴格過濾,導(dǎo)致攻擊者可構(gòu)造模版閉合標簽,實現(xiàn)模版注入進行GETSHELL。

關(guān)于織夢dedecms模板SQL注入漏洞修復(fù)方法,主要是文件/member/soft_add.php。

搜索: $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";   (大概在154行左右)

替換成  

if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) { $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n"; } 

老規(guī)矩大紅色地方標記了修改的地方,然后保存,接著備份原文件,然后上傳修改好的文件即可。

版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會員發(fā)布,如果侵犯了您的權(quán)益請與我們聯(lián)系,我們將在24小時內(nèi)刪除!謝謝!

轉(zhuǎn)載請注明: 阿里云提示織夢dedecms模版SQL注入漏洞修復(fù)方法

標簽:  
相關(guān)文章
模板推薦