dedecms
Lsiri
这个作者很懒,什么都没留下…
展开
-
DEDECMS常用标签记录
{dede:arclist typeid=10 titlelen=200 orderby='pubdate'} <dd><span>[field:pubdate function="MyDate('m-d',@me)"/]</span> <div class="jx"><a href="[field:arcurl/]">[fiel...原创 2019-12-29 21:09:06 · 109 阅读 · 0 评论 -
织梦DEDECMS网站栏目页如何获取顶级栏目标题
使用织梦系统的时候,时常会碰到需要调用当前栏目的顶级栏目名称的时候.织梦默认{dede:field name='typename' /} 可以获取当前栏目页上一级栏目的名称,而不是当前栏目顶级栏目名称。下面拓展出一个方法来实现这个效果、:在include/common.func.php的最下方加入://获取顶级栏目名function GetTopTypename($id){ g...转载 2019-12-28 14:50:59 · 172 阅读 · 0 评论 -
dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法
漏洞名称:dedecms cookies泄漏导致SQL漏洞补丁文件:/member/article_add.php补丁来源:云盾自研漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。解决方法搜索代码:if (empty($dede_fieldshash)...转载 2018-06-26 16:15:06 · 682 阅读 · 0 评论 -
dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法
1.打开\member\inc\inc_archives_functions.php文件,找到239行,将echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";替换为:echo "<in转载 2018-06-26 16:19:19 · 1249 阅读 · 0 评论 -
DedeCMS v5.7 注册用户任意文件删除漏洞
漏洞名称:DedeCMS v5.7 注册用户任意文件删除漏洞 危险等级:★★★★★(高危) 漏洞文件:/member/inc/archives_check_edit.php 披露时间:2017-03-20 漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。 修复方法: 打开/member/inc/archives_check_edit.php 找到大概第92行的代码:$litpic...转载 2018-06-26 17:39:53 · 2304 阅读 · 0 评论 -
Dede后台文件任意上传漏洞解决方法
--media_add.php 上传漏洞 主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。 搜索$fullfilename = $cfg_basedir.$filename;(大概在69行左右) 替换成 if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[...转载 2018-06-26 17:42:08 · 2302 阅读 · 1 评论 -
织梦dedecms漏洞修复记
自己用dedecms在阿里云上搭建了套网站,之后阿里云漏洞提示,织梦有多个漏洞需要我修复,发我邮箱,今天整理了下,我遇到的漏洞,及我修复的过程。漏洞描述:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。解决办法:打开根目录下/member/soft_add.php(在15...转载 2018-06-26 18:03:18 · 1512 阅读 · 1 评论