国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

織夢dedecms安全漏洞include/common.inc.php漏洞解決方法

2年前分類:Toy博客閱讀(19)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了織夢dedecms安全漏洞include/common.inc.php漏洞解決方法。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

1.受影響版本織夢dedecms 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局變量初始化存在漏洞,可以任意覆蓋任意全局變量。
描述:

目標(biāo)存在全局變量覆蓋漏洞。

1.受影響版本DEDECMS 5.7、5.6、5.5。
2.漏洞文件/include/common.inc.php
3.DEDECMS的全局變量初始化存在漏洞,可以任意覆蓋任意全局變量。

危害:

1.黑客可以通過此漏洞來重定義數(shù)據(jù)庫連接。
2.通過此漏洞進(jìn)行各種越權(quán)操作構(gòu)造漏洞直接寫入webshell后門。

臨時(shí)解決方案:

在 /include/common.inc.php 中

找到注冊變量的代碼

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
         foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

修改為

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
         foreach($$_request as $_k => $_v) {
                    if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
                            exit('Request var not allow!');
                   }
                    ${$_k} = _RunMagicQuotes($_v);
    }
}

到此這篇關(guān)于織夢dedecms安全漏洞include/common.inc.php漏洞解決方法的文章就介紹到這了,更多相關(guān)dedecms common.inc.php漏洞內(nèi)容請搜索yii666以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持yii666!文章來源地址http://www.zghlxwxcb.cn/news/detail-441120.html

到了這里,關(guān)于織夢dedecms安全漏洞include/common.inc.php漏洞解決方法的文章就介紹完了。如果您還想了解更多內(nèi)容,請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 開發(fā)安全之:split()安全漏洞

    split() 函數(shù)不安全,因?yàn)樗且褩売玫?POSIX 正則表達(dá)式函數(shù)系列的一部分,該函數(shù)系列會(huì)在遇到 null 字節(jié)時(shí)停止讀取輸入字符串。由于 PHP 允許字符串中包含 null 字節(jié),因此在某些情況下使用這些函數(shù)可能很危險(xiǎn),應(yīng)完全避免。 例 1: 根據(jù)給出的 URL http://www.example.com/index.ph

    2024年01月21日
    瀏覽(29)
  • 【網(wǎng)絡(luò)安全】JWT安全漏洞

    【網(wǎng)絡(luò)安全】JWT安全漏洞

    Json Web Token(JWT) JSON Web Token(JWT)是一個(gè)非常輕巧的規(guī)范。這個(gè)規(guī)范允許我們使用JWT在兩個(gè)組織之間傳遞安全可靠的信息。 JWT是一個(gè)有著簡單的統(tǒng)一表達(dá)形式的字符串: 頭部(Header) 頭部用于描述關(guān)于該JWT的最基本的信息,例如其類型以及簽名所用的算法等。 JSON內(nèi)容要經(jīng)

    2024年02月12日
    瀏覽(32)

  • 【安全漏洞】ThinkPHP 3.2.3 漏洞復(fù)現(xiàn)

    在 HomeControllerIndexController 下的index中傳入了一個(gè)可控參數(shù),跟進(jìn)調(diào)試看一下。 跟進(jìn) display() 一路跟進(jìn)到 fetch() ,然后一路進(jìn)入 Hook::listen(\\\'view_parse\\\', $params); 關(guān)鍵地方在這,我們之前 index 里的內(nèi)容被存入了緩存文件php文件中,連帶著我們輸入的可控的php代碼也在其中,然后包

    2024年02月12日
    瀏覽(22)
  • 安全漏洞分類之CNNVD漏洞分類指南

    安全漏洞分類之CNNVD漏洞分類指南

    適用范圍說明 凡是被國家信息安全漏洞庫(CNNVD)收錄的漏洞,均適用此分類規(guī)范,包括采集的公開漏洞以及收錄的未公開漏洞,通用型漏洞及事件型漏洞。 漏洞類型 CNNVD將信息安全漏洞劃分為26種類型,分別是:配置錯(cuò)誤、代碼問題、資源管理錯(cuò)誤、數(shù)字錯(cuò)誤、信息泄露、

    2024年02月02日
    瀏覽(26)
  • Web安全漏洞介紹及防御-文件上傳漏洞

    Web安全漏洞介紹及防御-文件上傳漏洞

    ??博客主頁:舉杯同慶 – 生命不息,折騰不止 ??訂閱專欄:『Web安全』 ??如覺得博主文章寫的不錯(cuò),或?qū)δ阌兴鶐椭脑?,請多多支持呀???關(guān)注?、點(diǎn)贊??、收藏??、評(píng)論。 話題討論 中國經(jīng)濟(jì)周刊-2022-07-08 新聞 萬豪國際集團(tuán)證實(shí)了近期一起數(shù)據(jù)泄露事件,一個(gè)月

    2024年02月02日
    瀏覽(24)

  • dedecms織夢模板中plus文件作用介紹及安全設(shè)置詳解

    織夢國內(nèi)第一大開源程序,之所以容易中毒,因?yàn)檠芯克娜颂嗔耍脩袅刻罅?,有可乘之機(jī)和商業(yè)用途。所以成了很多黑客下手的對(duì)象。 官方網(wǎng)站下載了Dedecms安裝包以后,解壓出來,有一個(gè)uploads文件,這里面的文件夾才是網(wǎng)站的安裝文件,里面文件很多,今天小編就

    2024年02月02日
    瀏覽(25)
  • 《WEB安全漏洞100講》(第4講)CSRF漏洞

    《WEB安全漏洞100講》(第4講)CSRF漏洞

    CSRF(Cross-site request forgery),跨站請求偽造,簡寫 CSRF/XSRF。指利用受害者尚未失效的身份認(rèn)證信息(cookie、會(huì)話等),誘騙其點(diǎn)擊惡意鏈接或者訪問包含攻擊代碼的頁面,在受害人不知情的情況下以受害者的身份向(身份認(rèn)證信息所對(duì)應(yīng)的)服務(wù)器發(fā)送請求,從而完成非法操作

    2023年04月08日
    瀏覽(32)
  • 5.5 漏洞掃描:Web安全漏洞掃描及審計(jì)

    5.5 漏洞掃描:Web安全漏洞掃描及審計(jì)

    目錄 一、預(yù)備知識(shí):Web漏洞的獲取方法與w3af 1. 漏洞掃描 2. 漏洞掃描器 3.? w3af 二、實(shí)驗(yàn)環(huán)境 三、實(shí)驗(yàn)步驟 四、實(shí)驗(yàn)思考 1. 漏洞掃描 ????????漏洞掃描除用于網(wǎng)絡(luò)攻擊外,還用于對(duì)網(wǎng)絡(luò)的安全防御。系統(tǒng)管理員通過對(duì)網(wǎng)絡(luò)漏洞的系統(tǒng)掃描,全面地了解網(wǎng)絡(luò)的安全狀態(tài),

    2024年02月09日
    瀏覽(17)
  • 「 典型安全漏洞系列 」12.OAuth 2.0身份驗(yàn)證漏洞

    「 典型安全漏洞系列 」12.OAuth 2.0身份驗(yàn)證漏洞

    在瀏覽網(wǎng)頁時(shí),你肯定會(huì)遇到允許你使用社交媒體帳戶登錄的網(wǎng)站。此功能一般是使用流行的OAuth 2.0框架構(gòu)建的。本文主要介紹如何識(shí)別和利用OAuth 2.0身份驗(yàn)證機(jī)制中發(fā)現(xiàn)的一些關(guān)鍵漏洞。 為了更好的理解OAuth,我們假設(shè)有如下場景:有一個(gè)提供云沖印的網(wǎng)站,該網(wǎng)站可以將

    2024年04月10日
    瀏覽(25)
  • 漏洞修復(fù)--Haxx curl 安全漏洞 (CVE-2020-8177)

    漏洞修復(fù)--Haxx curl 安全漏洞 (CVE-2020-8177)

    Haxxcurl是瑞典Haxx公司的一套利用URL語法在命令行下工作的文件傳輸工具。該工具支持文件上傳和下載,并包含一個(gè)用于程序開發(fā)的libcurl(客戶端URL傳輸庫)。Haxxcurl7.20.0版本至7.71.0之前版本中存在安全漏洞。攻擊者可利用該漏洞覆蓋本地文件。 使用阿里云或者騰訊云的倉庫

    2024年02月08日
    瀏覽(86)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包