国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

18143453325 在線咨詢 在線咨詢
18143453325 在線咨詢
所在位置: 首頁 > 營銷資訊 > 網(wǎng)絡(luò)營銷 > dedecms cookies泄漏導(dǎo)致SQL漏洞的修復(fù)方法

dedecms cookies泄漏導(dǎo)致SQL漏洞的修復(fù)方法

時(shí)間:2022-05-25 23:15:01 | 來源:網(wǎng)絡(luò)營銷

時(shí)間:2022-05-25 23:15:01 來源:網(wǎng)絡(luò)營銷

最近,公司做的新網(wǎng)站都是用dedecms系統(tǒng)搭建的,雖說dedecms(織夢)系統(tǒng)是很好用,但織夢程序的最頭疼的就是安全問題了,今天,公司的網(wǎng)站就收到阿里云后臺的信息提示網(wǎng)站存在一些漏洞需要及時(shí)處理。漏洞提示:dedecms cookies泄漏導(dǎo)致SQL漏洞;漏洞描述是:dedecms的文章發(fā)表表單中泄漏了用于防御CSRF的核心cookie,同時(shí)在其他核心支付系統(tǒng)也使用了同樣的cookie進(jìn)行驗(yàn)證,黑客可利用泄漏的cookie通過后臺驗(yàn)證,進(jìn)行后臺注入。如下圖所示:

該漏洞所處的路徑為:/member/inc/inc_archives_functions.php,對于該漏洞,我去網(wǎng)上查找了一下,很多織夢的網(wǎng)站也都提示此漏洞,解決方法也比較簡單,在此,我便借助億企邦的平臺將修復(fù)方法分享如下:

漏洞名稱:dedecms cookies泄漏導(dǎo)致SQL漏洞

危險(xiǎn)等級:★★★★★(高危)

漏洞文件:/member/inc/inc_archives_functions.php

披露時(shí)間:2016-08-22

漏洞描述:dedecms的文章發(fā)表表單中泄漏了用于防御CSRF的核心cookie,同時(shí)在其他核心支付系統(tǒng)也使用了同樣的cookie進(jìn)行驗(yàn)證,黑客可利用泄漏的cookie通過后臺驗(yàn)證,進(jìn)行后臺注入。

修復(fù)方法:

查找網(wǎng)站根目錄下的include文件夾,并打開/member/inc/inc_archives_functions.php文件,找到大概第239行的代碼:

echo "<input type=/"hidden/" name=/"dede_fieldshash/" value=/"".md5($dede_addonfields.$cfg_cookie_encode)."/" />";

修改為:

echo "<input type=/"hidden/" name=/"dede_fieldshash/" value=/"".md5($dede_addonfields.'anythingelse'.$cfg_cookie_encode)."/" />";

注意,此段代碼也就是多加了一句 'anythingelse' 的代碼 ,其他沒什么變動(dòng),紅色標(biāo)示的即是修改的部分:

echo "<input type=/"hidden/" name=/"dede_fieldshash/" value=/"".md5($dede_addonfields.'anythingelse'.$cfg_cookie_encode)."/" />";

說明:自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案,可能會導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞,云盾依然報(bào)告存在漏洞,遇到該情況可選擇忽略該漏洞提示。

億企邦點(diǎn)評:

提醒大家一點(diǎn),作為一個(gè)非資深技術(shù)人員,在修改網(wǎng)站文件前請先做好文件備份,以免修改錯(cuò)誤導(dǎo)致無法恢復(fù),影響網(wǎng)站的正常使用。

再者就是網(wǎng)站出現(xiàn)了漏洞提示,一定要記得及時(shí)的修復(fù),以免被不法之人利用掛馬,導(dǎo)致網(wǎng)站被降權(quán),到時(shí)就追悔莫及了!

關(guān)鍵詞:修復(fù),方法,漏洞

74
73
25
news

版權(quán)所有? 億企邦 1997-2022 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點(diǎn)擊下載Chrome瀏覽器
關(guān)閉