欢迎光临
我们一直在努力

阿里云服务器提示:dedecms模版SQL注入漏洞

现在很多用户都开始使用到阿里云服务器,会经常碰到各种安全提示,不得不说阿里云这一块做的还是很不错的。今天介绍下【阿里云提示织梦dedecms模版SQL注入漏洞修复方法】。

问题原因:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。

关于织梦dedecms模板SQL注入漏洞修复方法,主要是文件/member/soft_add.php。

搜索: $urls .= “{dede:link islocal=’1′ text='{$servermsg1}’} $softurl1 {/dede:link}\r\n”;   (大概在154行左右)

替换成  

if (preg_match(“#}(.*?){/dede:link}{dede:#sim”, $servermsg1) != 1) { $urls .= “{dede:link islocal=’1′ text='{$servermsg1}’} $softurl1 {/dede:link}\r\n”; }

 

好了,备份源文件,上传试试。

赞(0) 打赏
未经允许不得转载:优站网 » 阿里云服务器提示:dedecms模版SQL注入漏洞
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

分享互联网的精彩,一起进步

联系我们联系我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏