1. <table id="bk4k1"><option id="bk4k1"></option></table>
      <p id="bk4k1"><option id="bk4k1"></option></p>
          <pre id="bk4k1"></pre>

          dedecms cookies泄漏導致SQL漏洞 /member/article_add.php 修復

          相關案例演示

          漏洞名稱:dedecms cookies泄漏導致SQL漏洞

          補丁文件:/member/article_add.php

          補丁來源:云盾自研

          漏洞描述:dedecms的文章發表表單中泄漏了用于防御CSRF的核心cookie,同時在其他核心支付系統也使用了同樣的cookie進行驗證,黑客可利用泄漏的cookie通過后臺驗證,進行后臺注入。

          解決方法:

          找到代碼:

          if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))

          修改成:

          if ( empty($dede_fieldshash) || ( $dede_fieldshash != md5($dede_addonfields . $cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields.'anythingelse'.$cfg_cookie_encode)) ) 

          推薦D盾—WEB查看工具:

          軟件使用自行研發不分擴展名的代碼分析引擎,能分析更為隱藏的WebShell后門行為。

          引擎特別針對,一句話后門,變量函數后門,${}執行 ,`執行,

          preg_replace執行,call_user_func,file_put_contents,fputs 等特殊函數

          的參數進行針對性的識別,能查殺更為隱藏的后門,

          并把可疑的參數信息展現在你面前,讓你能更快速的了解后門的情況

          新版特別針對 dedecms 的{dede:php}{/dede:php}代碼加入了識別!

          軟件加入隔離功能,并且可以還原!

          如有不能識別的webshell請使用上傳樣本功能上傳給我們,我們將后期加入識別!

          下載:http://www.d99net.net/down/WebShellKill_V1.4.1.zip

          D盾查殺工具

          免責聲明:本站所有文章和圖片均來自用戶分享和網絡收集,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系網站客服處理。


          來源:網友投稿 關注: 時間:2021-12-17 08:57
          首先聲明,只要是我們的vip會員所有源碼均可以免費下載,不做任何限制(了解更多)
          ☉本站的源碼不會像其它下載站一樣植入大量的廣告。為了更好的用戶體驗以后堅持不打水印
          ☉本站只提供精品織夢源碼,源碼在于可用,不在多!希望在這里找到你合適的。
          ☉本站提供的整站織夢程序,均帶數據及演示地址?梢栽谌我辉创a詳情頁查看演示地址
          ☉本站所有資源(包括源碼、模板、素材、特效等)僅供學習與參考,請勿用于商業用途。
          ☉如有其他問題,請加網站客服QQ進行交流。
          相關織夢教程
          QQ在線咨詢
          男女真人后进式猛烈qq动态图
          1. <table id="bk4k1"><option id="bk4k1"></option></table>
              <p id="bk4k1"><option id="bk4k1"></option></p>
                  <pre id="bk4k1"></pre>