腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳等常见问题

[织梦] 阿里云提示织梦dedecms模版SQL注入漏洞修复方法

0
回复
1876
查看
[复制链接]

761

主题

775

帖子

3万

积分

董事

Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72

积分
32853
发表于 19-5-12 10:10:57 | 显示全部楼层 |阅读模式      紫钻仅向指定用户开放  
很多用户用到阿里云服务器,会经常碰到各种安全提示,不得不说阿里云这一块做的还是很不错的。今天介绍下【阿里云提示织梦dedecms模版SQL注入漏洞修复方法】。 问题原因: dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构...6 a; Q$ m  b3 l5 a- v5 @8 q
很多用户用到阿里云服务器,会经常碰到各种安全提示,不得不说阿里云这一块做的还是很不错的。今天介绍下【阿里云提示织梦dedecms模版SQL注入漏洞修复方法】。3 Q3 @. [, d8 Z# J

/ `+ T. }* B2 c9 A! i# ^- q3 g, g问题原因:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。
关于织梦dedecms模板SQL注入漏洞修复方法,主要是文件/member/soft_add.php。
搜索:
  1. <font color="#000000"><font size="3"> <span style="border: none; outline: 0px; vertical-align: baseline; color: rgb(255, 0, 0);"><strong style="border: none; outline: 0px; vertical-align: baseline;">$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";</strong></span> </font></font>
复制代码
  (大概在154行左右)
替换成  
  1. <font color="#000000"><font color="#ff0000" size="3">if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) { $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n"; } </font></font>
复制代码
老规矩大红色地方标记了修改的地方,然后保存,接着备份原文件,然后上传修改好的文件即可。
5 k0 t+ [) c  f* W  X& q4 e& K9 ?
" j9 H) t5 [' r" J) n7 B
网站简介

球球发,是一家 Discuz! 商业插件、风格模板、网站源码、 Discuz!运营维护技术等于一体的交流分享网站,全站95%的资源都是免费下载,对于资源我们是每天更新,每个亲测资源最新最全---球球发(如果我们有侵犯了您权益的资源请联系我们删除