花魁直播高品质美女在线视频互动社区 - 花魁直播官方版

 歡迎來到素材無憂網(wǎng),按 + 收藏我們
登錄 注冊 退出 找回密碼

阿里云服務(wù)器提示 dedecms cookies泄漏導(dǎo)致SQL漏洞 article_add.php

時間: 2019-03-13 02:54 閱讀: 作者:素材無憂網(wǎng)

漏洞名稱:dedecms cookies泄漏導(dǎo)致SQL漏洞

補丁文件:/member/article_add.php

補丁來源:云盾自研

漏洞描述:dedecms的文章發(fā)表表單中泄漏了用于防御CSRF的核心cookie,同時在其他核心支付系統(tǒng)也使用了同樣的cookie進行驗證,黑客可利用泄漏的cookie通過后臺驗證,進行后臺注入。

解決方法:

搜索代碼:if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))    【大概83行】

修改為以下代碼:

if (empty($dede_fieldshash) || ( $dede_fieldshash != md5($dede_addonfields . $cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields . 'anythingelse' . $cfg_cookie_encode)) )

 


版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會員發(fā)布,如果侵犯了您的權(quán)益請與我們聯(lián)系,我們將在24小時內(nèi)刪除!謝謝!

轉(zhuǎn)載請注明: 阿里云服務(wù)器提示 dedecms cookies泄漏導(dǎo)致SQL漏洞 article_add.php

標(biāo)簽:  
相關(guān)文章
模板推薦