dedecms教程:防XSS,sql注射,代码执行,文件包含的通用代码

最新推荐文章于 2019-11-28 11:50:46 发布
最新推荐文章于 2019-11-28 11:50:46 发布
阅读量407 收藏
点赞数 1
分类专栏: dedecms(织梦)教程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/buzhang1314/article/details/50600049
版权

最近因为织梦的漏洞,不少朋友用织梦建设的网站都被黑掉了,特意来分享一下模板无忧在用的一个代码,本代码可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。

    使用方法:

    1.将waf.php传到要包含的文件的目录

    2.在页面中加入防护,有两种做法,根据情况二选一即可:

    第一种:在所需要防护的页面加入代码就可以做到页面防注入、跨站

    require_once('waf.php');

    如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php,来调用本代码。

    常用php系统添加文件:

    PHPCMS V9 \phpcms\base.php

    PHPWIND8.7 \data\sql_config.php

    DEDECMS5.7 \data\common.inc.php

    DiscuzX2   \config\config_global.php

    Wordpress   \wp-config.php

    Metinfo   \include\head.php

    第二种方法:

    在每个文件最前加上代码具体做法是:在php.ini中找到 auto_prepent_file并修改为:

    Automatically add files before or after any PHP document;

    auto_prepend_file = waf.php路径;

buzhang1314
关注
专栏目录
织梦CMS 登录页面的XSS 注入漏洞及处理
weixin_30606669的博客
07-12 1108
一、客户检测报告: 事件URL: http://127.0.0.1/mgr/login.php?gotopage=%22%3E%3Cinput%20type=%22text%22%20onInput=alert(1)%3E%3Cx=%22 事件类型:漏洞-KingCms门户系统存储型XSS 事件URL: http://127.0.0.1/mgr/login.php?gotopage=%2...
PHP XSS,SQL,代码执行文件包含等多种高危漏洞
05-21
1.将waf.php传到要包含的文件的目录 2.在页面中加入护,有两种做法,根据情况二选一即可: a).在所需要护的页面加入代码 require_once('waf.php'); 就可以做到页面注入、跨站 如果想整站注,就在网站的一...
dedecms功能性函数封装(XSS过滤、编码、浏览器XSS hack、字符操作函数)
weixin_30783629的博客
08-23 151
dedecms虽然有诸多漏洞,但不可否认确实是一个很不错的内容管理系统(cms),其他也不乏很多功能实用性的函数,以下就部分列举,持续更新,不作过多说明。使用时需部分修改,你懂的 1.XSS过滤。 function XSSClean($val) { global $cfg_soft_lang; if($cfg_soft_lang=='gb2312') gb2utf8($...
第六天实验详解——dedecms通过xss漏洞写马
weixin_34072857的博客
11-10 379
第六天实验详解 **XSS跨站攻击的分类** XSS漏洞类型主要分为持久型和非持久型两种: 1. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞。 2. 持久型XSS漏洞一般存在于富文本等交互功能,如发帖留言等,黑客使用的XSS内容经正常功能进入数据库持久保存。 > DOM XSS漏洞,也分为持久和非持久型两种,多是通过...
织梦sql注入
qq_40580129的博客
05-22 964
dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。 dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。 打开文件/member/soft_add...
深入浅出玩转php一句话(含过waf新姿势)
热门推荐
wjy397的专栏
01-10 1万+
本帖最后由 sucppVK 于 2017-1-9 14:39 编辑 一、前言 本文原创作者:XXX,本文属i春秋原创奖励计划,未经许可禁止转载! 各个论坛出了不少过waf的一句话 可笔者见还是有不少小白没有理解一句话(只知道是拿来链接菜刀) 今天打算做一篇面向初学者的教程,总结知识点,抛砖引玉。 让小白从彻底理解马的含义,到打造属于自己过waf的马。 ----
360通用asp代码(sql注入)
09-29
跨站脚本攻击(XSS)护包括: 1. **数据过滤与转义**:对所有输出的用户数据进行编码,止恶意脚本在目标用户的浏览器上执行。 2. **HTTP头部安全设置**:如Content-Security-Policy,可限制浏览器仅加载指定来源...
XSS攻击和SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
360提供的phpsql注入代码修改类
05-02
2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据不会被解析为SQL代码。 3. 输入验证:对用户输入进行严格的验证和清理,如限制输入长度,过滤特殊字符等。 4. 错误处理:避免泄露数据库结构和信息,应...
织梦DEDECMS安全护设置及漏洞修复
丈哥SEO博客
11-28 1378
一、程序一定要从织梦官网下载,其他地方下载的不能保证安全。 二、下载后的程序在正常运行后,要删除下列文件夹(根据你的需要选择删除)。 member 会员文件夹整个删除 special 专题文件夹整个删除 install 安装文件夹整个删除 robots.txt 文件删除 删除 /templets/default 官方默认模板这个文件夹(在你自己有模板的情况下,如果没有,请勿删除)。 删除PLUS文...
dede常见漏洞以及解决方法】
u011168635的专栏
09-08 1387
dede的漏洞公认的多,接手这个网站也接触了不少,现在就把几种接触到的或者了解到的漏洞记录下来,让大家可以提高警惕,止网站被攻击。 1.dede dialog目录下的配置文件漏洞   如果有能力的同学最好好好研究下这个目录下的文件,漏洞太多了,先只说我遇到的一处 在include/dialog下的config.php第35行     if($cuserL
PHP后门***详解
jiazhipeng12的专栏
12-18 382
说起php后门***我就心有愉季啊前不久一个站就因不小心给人注入了然后写入了小***这样结果大家知道的我就不说了下面我来给大家收集了各种php后门***做法大家可参考。php后门***对大家来说一点都不陌生吧但是它的种类您又知多少呢本文为您浅析说明一些php后门***常用的函数。php后门***常用的函数大致上可分为四种类型1. 执行系统命令: system, passthr...
xss攻击汇总
continue my dream
09-04 2994
(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码(必须有分号) (6)修正缺陷IMG标签 alert("XSS")"> (7)formCharCode标签(计算器) (8)UTF-8的Unicode编码(计算器) (9)7位的
dedecms 留言本 XSS 漏洞
收集盒 Book box
09-09 730
dedecms 的 0day 又出来了 呵呵。其实只是xss,结合下社工还是可以拿shell的 plus/guestbook/index.php >>>>function init() { document.write(\'Hacked by qing\');}win
前端安全系列:如何XSS攻击?
琦彦
01-25 5256
前端安全  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这...
dede常见漏洞以及解决方法
weixin_33674437的博客
09-03 345
   dede的漏洞公认的多,接手这个网站也接触了不少,现在就把几种接触到的或者了解到的漏洞记录下来,让大家可以提高警惕,止网站被***。1.dede dialog目录下的配置文件漏洞    如果有能力的同学最好好好研究下这个目录下的文件,漏洞太多了,先只说我遇到的一处在include/dialog下的config.php第35行if($cuserLogin->getUserID() &...
python的练习题2
最新发布
10-16
python的练习题2
行人重识别-用于行人重识别的稀疏标签平滑正则化优化-附项目源码+流程教程-优质项目实战.zip
10-16
行人重识别_用于行人重识别的稀疏标签平滑正则化优化_附项目源码+流程教程_优质项目实战
ESAPI入门:XSS/SQL注入安全实践与问题解决
ESAPI,全称Enterprise Security API,是OWASP(开放Web应用安全项目)推出的一款开源工具,旨在帮助开发人员在编写Web应用程序时增强安全性,止常见的漏洞如跨站脚本(XSS)攻击和SQL注入。这个库提供了一套预编写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值