香蕉视频app

簡站網

dedecms SESSION變量覆蓋導致SQL注入common.inc.php的解決

  • 時間:2020-11-19 00:11 來源:簡站網 編輯:簡站網 閱讀:71
  • 掃一掃,手機訪問
摘要:[db:簡介]
 

dedecms SESSION變量覆蓋導致SQL注入common.inc.php的解決辦法:

 

補丁文件:/include/common.inc.php

 

漏洞描述:dedecms的/plus/advancedsearch.php中,直接從SESSION[SESSION[sqlhash]獲取值作為$query帶入SQL查詢,這個漏洞的利用前提是session.auto_start = 1即開始了自動SESSION會話,云盾團隊在dedemcs的變量注冊入口進行了通用統一防御,禁止SESSION變量的傳入

 

dedecms SESSION變量覆蓋導致SQL注入common.inc.php的解決辦法

 

1、搜索如下代碼(68行):

 

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )

 

2、替換 68 行代碼,替換代碼如下:

 

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )

 

修改前請備份好文件,將新的/include/common.inc.php 文件上傳替換阿里云服務器上的即可解決此問題。


  • 全部評論(0)
上一篇:已是第一篇內容
下一篇:織夢導航欄首頁currentstyle參數不好使的解決方案
資訊詳情頁最新發布上方橫幅
最新發布的資訊信息
【運營推廣|微信營銷】如何寫一篇有效果網絡營銷文案?(2020-11-24 11:11)
【源碼下載|網站源碼】好看流光風格個人主頁源碼(2020-11-24 09:11)
【源碼下載|網站源碼】東方終焉組引導頁html源碼(2020-11-24 07:11)
【源碼下載|網站源碼】抖音時鐘原生JS文字鐘源碼(2020-11-24 06:11)
【源碼下載|網站源碼】簡約二次元背景自適應代碼(2020-11-24 05:11)
【源碼下載|網站源碼】代刷網APP軟件下載頁源碼(2020-11-24 01:11)
【源碼下載|網站源碼】二次元QQ價值評估網源碼(2020-11-23 11:11)
【源碼下載|網站源碼】大米API源碼v2.0新UI版本(2020-11-23 11:11)
【源碼下載|網站源碼】彩虹代刷網登錄注冊頁美化(2020-11-23 05:11)
【運營推廣|微信營銷】別再被誤導了 公眾號運營不是你那樣做的!(2020-11-23 02:11)