代理加盟 2020全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: 秀站網 > 織夢大學 > 織夢安全 >

阿里云服務器提示 dedecms cookies泄漏導致SQL漏洞 article_add.

來源:本站原創 發布時間:2019-03-19 22:26:23熱度:我要評論(0

免費下載,無需注冊無需充值

漏洞名稱:dedecms cookies泄漏導致SQL漏洞

補丁文件:/member/article_add.php

補丁來源:云盾自研

漏洞描述:dedecms的文章發表表單中泄漏了用于防御CSRF的核心cookie,同時在其他核心支付系統也使用了同樣的cookie進行驗證,黑客可利用泄漏的cookie通過后臺驗證,進行后臺注入。

解決方法:

 

搜索代碼:if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))    【大概83行】

修改為以下代碼:

if (empty($dede_fieldshash) || ( $dede_fieldshash != md5($dede_addonfields . $cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields . 'anythingelse' . $cfg_cookie_encode)) )

 


轉載請注明來源網址:http://www.yxrxyy.live/dedecms_aq/1049.html

    發表評論

    評論列表(條)

      北京28是什么彩票