阿里云对Thinkphp5以上版本漏洞修复方法

最新推荐文章于 2023-11-18 17:00:52 发布
最新推荐文章于 2023-11-18 17:00:52 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: PHP 安全
PHP 同时被 2 个专栏收录
15 篇文章 1 订阅
订阅专栏
安全
1 篇文章 0 订阅
订阅专栏

1.ThinkPHP 5 <=5.0.22 远程代码执行高危漏洞

解决方案:

    在think\App类的module方法的获取控制器的代码后面加上
    if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
        throw new HttpException(404, 'controller not exists:' . $controller);
    }

2. ThinkPHP 5.1.X <= 5.1.30 远程代码执行漏洞

解决方案:

    在think\route\dispatch\Url类的parseUrl方法,解析控制器后加上
    if ($controller && !preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
        throw new HttpException(404, 'controller not exists:' . $controller);
    }

 

极客之至
关注
专栏目录
ThinkPHP框架任意代码执行漏洞的利用及其修复方法
10-25
官方补丁通常会在发现问题后迅速发布,开发者需要关注官方的更新日志,及时下载并更新到最新版本修复已知的安全漏洞。此外,如果官方补丁还未发布或者有紧急情况,开发者也可以选择直接修改源码的方式进行修复。这...
Thinkphp漏洞修复指南
berlinchans的博客
03-01 691
一.远程漏洞执行漏洞1 标题: ThinkPHP5 <= 5.0.22 远程代码执行高危漏洞修复 5.0版本 在think\App类的module方法的获取控制器的代码后面加上 if (!preg_match(‘/^A-Za-z*$/‘, $controller)) { throw new HttpException(404, ‘controller not exists:’ . ...
ThinkPHP 5.0 远程代码执行高危漏洞 修复方案
ECHO陈文的博客
06-21 4755
漏洞描述 由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 < 5.0.24 安全版本 ThinkPHP 5.0系列 5.0.24 ThinkPHP 5.1系列 5.1.31 安全建议 升级ThinkPHP至安全版本 修复方法1.打开 thinkphpli...
thinkphp5+远程代码执行_ThinkPHP5.0.x远程命令执行高危漏洞预警
weixin_39777543的博客
11-25 191
漏洞综述关于ThinkPHPThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,其借鉴了国外很多优秀的框架和模式,包括使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式等。该框架常被用来进行二次开发,国内应用非常广泛。漏洞原理Thinkphp处理请求的关键类为Request(thinkph...
Thinkphp5.0对接阿里云内容安全
qq_38247491的博客
12-30 1004
阅读阿里云文档 下载相应的sdk 在extend目录创建aliyuncs aliyuncs下新建Index.php <?php require_once 'aliyun-oss-php-sdk/autoload.php'; include_once 'aliyun-php-sdk-core/Config.php'; use Green\Request\V20180509 as Green; use Green\Request\Extension\ClientUploader; class.
thinkphp 远程执行漏洞修复方案_ThinkPHP再爆高危漏洞 启明星辰提供解决方案
weixin_34820751的博客
01-09 340
ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,该框架国内应用非常广泛。2019年1月11日官方修复了一处严重的漏洞,该漏洞可导...
ThinkPHP5+UEditor图片上传到阿里云对象存储OSS功能示例
10-16
主要介绍了ThinkPHP5+UEditor图片上传到阿里云对象存储OSS功能,结合实例形式分析了ThinkPHP5使用富文本编辑器UEditor实现图片上传到阿里云的相关操作技巧,需要的朋友可以参考下
腾讯云cos+阿里云oss+thinkphp3.2上传文件驱动
最新发布
01-15
1、框架版本thinkphp3.2版本、thinkcmfX3.2 2、PHP版本:7.2.5以上,以下版本使用腾讯云官方对应...3、后续会上传thinkphp5以上版本的对应资源 4、原创资源真实可靠,自行集成如有问题可加作者qq咨询(3451589763)
thinkphp5发送阿里云短信.zip
02-20
在IT行业中,ThinkPHP5框架和阿里云短信服务是两个重要的技术组件,它们结合使用可以为企业提供高效、安全的短信验证或通知功能。本篇将详细介绍如何在ThinkPHP5框架中集成并使用阿里云短信服务。 一、ThinkPHP5...
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 3768
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本5.0.13
ThinkPHP 5.0.5~5.0.23 远程代码执行漏洞复现及排查
dayouzi的博客
08-11 1628
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。Thinphp团队在实现框架中的核心类Requests的method方法实现了表单请求类型伪装,默认为$_POST[‘_method’]变量,却没有对$_POST[‘_method’]属性进行严格校验,可以通过变量覆盖掉Requets类的属性并结合框架特性实现对任意函数的调用达到任意代码执行的效果。
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
qq_67473072的博客
07-13 6055
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
ThinkPHP 5.0.* 修复安全漏洞
qq_38358436的博客
01-23 199
原因 https://s.tencent.com/research/report/607.html?client=tim&amp;ADUIN=1376109662&amp;ADSESSION=1548207737&amp;ADTAG=CLIENT.QQ.5597_.0&amp;ADPUBNO=26881 官方修复方法 https://blog.thinkp...
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
jammny
01-21 4152
前言 Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身 Voulhub靶机平台环境搭建和使用: https://blog.csdn.net/qq_41832837/article/details/103948358 目录: 漏洞原理 漏洞详情 漏洞复现 ...
Thinkphp 5.1.41 getshell
qq_41619801的博客
06-23 2174
首先需要实现反序列化,找到传参数的位置。影响thinkphp 5.1.37——5.1.41测试可以自己实现一个函数为了实现反序列化自动执行的魔法函数,要找到一个析构函数,thinkphp\library\think\process\pipes\Windows.php中有一个继续跟进removeFiles()file_exists会将$filename当作字符串进行处理,触发任意类的__toString()这时候需要找到一个__toString函数能继续向下执行的类,全局搜索。
php被挂马,近日报网站被挂马的解决方法
weixin_29554849的博客
03-12 625
核心框架为ThinkPHP5.0版本的:在think\App类的module方法的获取控制器的代码后面加上if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); }最终效果// 获取控制器名$contro...
php版本过低导致高危漏洞,ThinkPHP高危安全漏洞,攻击者可直接获取服务器权限,请尽快升级官方安全更新...
weixin_33240229的博客
03-21 509
2018年12月9日ThinkPHP官方发布一次重要安全更新,本次版本更新主要涉及一个ThinkPHP5.0.*-5.1.*的全系列安全漏洞,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,也就是攻击者可以构造特定的恶意请求直接获取服务器权限。请广大ThinkPHP开发者尽快更新到该版本!更新框架修复如果你使用composer安装,并且一直保持最新版...
ThinkPHP5远程代码执行高危漏洞(附:升级修复解决方法)
热门推荐
dabao87的博客
12-12 2万+
漏洞描述 由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 &lt; 5.0.23 ThinkPHP 5.1系列 &lt; 5.1.31 安全版本 ThinkPHP 5.0系列 5.0.23 ThinkPHP 5.1系列 5.1.31 ...
thinkphp5.x 漏洞 修复
10-30
修复ThinkPHP 5.x漏洞可以从以下几个方面入手: 1. 更新最新版本:保持框架的版本更新是修复漏洞的首要措施。ThinkPHP团队会不断发布更新版本修复漏洞和增加新功能,因此及时更新到最新版本是必要的。可以在官方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值