欧美大屁股bbbbxxxx,狼人大香伊蕉国产www亚洲,男ji大巴进入女人的视频小说,男人把ji大巴放进女人免费视频,免费情侣作爱视频

代理加盟

2023全新代理計劃,一站式模板建站,銅牌代理低至699元送終身VIP,獨立代理后臺,自營貼牌。
立馬加入終身會員

您現(xiàn)在的位置: 麥站網(wǎng) > 織夢大學(xué) > 織夢安全 >

dedecms模版SQL注入漏洞 /member/soft_add.php 修復(fù)

來源:本站原創(chuàng) 發(fā)布時間:2019-09-09 09:25:03熱度: ℃我要評論(0

麥站模板建站平臺(10年經(jīng)驗),服務(wù)數(shù)萬家企業(yè),固定透明報價。域名注冊、主機/服務(wù)器、網(wǎng)站源碼一站式服務(wù)。實體公司,專業(yè)團隊,值得選擇!超過1000套模板已登記版權(quán),合規(guī)合法建站,規(guī)避版權(quán)風(fēng)險!【點擊獲取方案】

dedecms的/member/soft_add.php中,對輸入模板參數(shù)$servermsg1未進行嚴(yán)格過濾,導(dǎo)致攻擊者可構(gòu)造模版閉合標(biāo)簽,實現(xiàn)模版注入進行GETSHELL。

打開文件/member/soft_add.php,搜索(大概在154行):

$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link} ";

替換為

if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) {

$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link} ";

}
 
這樣處理后就對參數(shù)驚醒了過濾,存在的漏洞也就修復(fù)完成了。
 
以上就是織夢dedecms模版soft_add.php SQL注入漏洞修復(fù)方法的全部內(nèi)容,希望對大家的學(xué)習(xí)和解決疑問有所幫助。

    轉(zhuǎn)載請注明來源網(wǎng)址:http://mengdiqiu.com.cn/dedecms_aq/1754.html

    發(fā)表評論

    評論列表(條)

       
      QQ在線咨詢
      VIP限時特惠