于是在網(wǎng)上查詢了一番,便找到了修復(fù)方法,在此,我便借助億" />

国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

18143453325 在線咨詢 在線咨詢
18143453325 在線咨詢
所在位置: 首頁 > 營銷資訊 > 網(wǎng)絡(luò)營銷 > dedecms v5.7 CSRF保護措施繞過漏洞

dedecms v5.7 CSRF保護措施繞過漏洞

時間:2022-05-25 23:21:01 | 來源:網(wǎng)絡(luò)營銷

時間:2022-05-25 23:21:01 來源:網(wǎng)絡(luò)營銷

今日,在檢查網(wǎng)站及服務(wù)器安全問題的時候,發(fā)現(xiàn)阿里云后臺一直提示有一個“dedecms v5.7 CSRF保護措施繞過漏洞”影響網(wǎng)站安全,需要緊急修復(fù),如下圖所示:

于是在網(wǎng)上查詢了一番,便找到了修復(fù)方法,在此,我便借助億企邦的平臺將修復(fù)方法分享一下給大家,具體如下:

漏洞名稱:dedecms v5.7 CSRF保護措施繞過漏洞

危險等級:★★★★★(高危)

漏洞文件:/dede/config.php

漏洞描述:dedecms最新版(20171228更新),增加了部分函數(shù)對CSRF漏洞的檢查,然而對函數(shù)輸出校驗不當導(dǎo)致可以傳入惡意數(shù)組繞過CSRF防御。

修復(fù)方法:

修改這個漏洞也是很簡單,主要是文件/dede/config.php 或者 /你的后臺名字/config.php的修改。

查找并打開/dede/config.php 文件,大概在67行或者搜索代碼:

if(!isset($token) || strcasecmp($token, $_SESSION['token']) != 0){

修改為:

if(!isset($token) || strcasecmp($token, $_SESSION['token']) !== 0){

如下圖所示:

說明:自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案,可能會導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞,云盾依然報告存在漏洞,遇到該情況可選擇忽略該漏洞提示。

修改之后,上傳覆蓋,將新的config.php文件上傳替換阿里云服務(wù)器上,在阿里云后臺驗證通過,即可解決此漏洞提示問題!

億企邦點評:

提醒大家一點,作為一個非資深技術(shù)人員,在修改網(wǎng)站文件前請先做好文件備份,以免修改錯誤導(dǎo)致無法恢復(fù),影響網(wǎng)站的正常使用。

再者就是網(wǎng)站出現(xiàn)了漏洞提示,一定要記得及時的修復(fù),以免被不法之人利用掛馬,導(dǎo)致網(wǎng)站被降權(quán),到時就追悔莫及了!

關(guān)鍵詞:漏洞,措施,保護

74
73
25
news

版權(quán)所有? 億企邦 1997-2022 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點擊下載Chrome瀏覽器
關(guān)閉