dedecms安全漏洞之/include/common.inc.php漏洞解决办法

最新推荐文章于 2023-03-23 12:31:54 发布
最新推荐文章于 2023-03-23 12:31:54 发布
阅读量4.9k 收藏 2
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31763129/article/details/80091888
版权
1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。

描述:

目标存在全局变量覆盖漏洞。


1.受影响版本DEDECMS 5.7、5.6、5.5。
2.漏洞文件/include/common.inc.php
3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。

危害:

1.黑客可以通过此漏洞来重定义数据库连接。
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。


临时解决方案:

在 /include/common.inc.php  中
找到注册变量的代码

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
         foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

修改为


foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
         foreach($$_request as $_k => $_v) {
                    if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
                            exit('Request var not allow!');
                   }
                    ${$_k} = _RunMagicQuotes($_v);
    }
}

 

特日根1602813998
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
织梦php配置文件,织梦dedecms配置文件/include/common.inc.php解读
weixin_34204530的博客
04-01 978
dedecms中配置文件是/include/common.inc.php,我觉得里面的一些思路还是值得借鉴的,比如定义系统路径定义,防sql注入的处理等。各行代码简单释义如下://error_reporting(E_ALL);error_reporting(E_ALL || ~E_NOTICE);//防止页面报错define('DEDEINC', ereg_replace("[/\\]{1,}",...
PHP 防护XSS,SQL,代码执行,文件包含等多种高危漏洞
05-21
DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after...
dedecms配置文件详解
多交雨
07-12 902
dedecms配置文件详解 这个文件位于 include/common.inc.php. 我在在原有的注释的基础上 做了增加 供大家学习参考 看这个文件目的是:完善自己做站配置文件 只供学习交流。不完善或者错误请指正 转载注明出处 [php] http://ganshisanmei.co.cc/index.html...
织梦dedecms程序安全漏洞include/common.inc.php漏洞解决方法
winkexin的博客
03-23 426
1.受影响版本织梦dedecms 5.7、5.6、5.5。2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。2.漏洞文件/include/common.inc.php。1.受影响版本DEDECMS 5.7、5.6、5.5。1.黑客可以通过此漏洞来重定义数据库连接。文章到此为止 请自行完善吧。
[2002] PDOException in Connection.php line 295
bigorange1的博客
03-15 312
[2002] PDOException in Connection.php line 295
PHP开发DEDE插件—基础篇.doc
08-29
require_once(dirname(__FILE__)."/../include/common.inc.php"); // 加载DEDE核心程序 require_once(DEDEROOT."/templets/plus/lxl_test_a.htm"); // 加载模板 ?> ``` 2. **创建前台模板文件**:`lxl_test_a....
360通用php防护代码
04-18
DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or ...
security:安全组件
07-10
【防护XSS,SQL,代码执行使用方法】 1.将waf.php传到要包含的文件的目录 ...DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php
最新黑色html5响应式工作室.rar_企业网站源码
09-23
3 data/common.inc.php 数据库连接文件 禁止写入与执行 只读模板 4 后台登陆路径dede 修改下名字 英文或者数字都可以 如dedecms51 默认登陆路径为 域名/dede 修改后登陆路径 域名/dedecms51(修改后的名称)
Deprecated: __autoload() is deprecated, use spl_autoload_register() instead in /www/wwwroot处理办法
weixin_43471809的博客
05-18 1843
Deprecated: __autoload() is deprecated, use spl_autoload_register() instead in /www/wwwroot/xxxx.cn/include/common.inc.php on line 295 处理办法:降低PHP版本 Deprecated: __autoload() is deprecated, use spl_autoload_register() instead in /www/wwwroot/xxxx.cn/include/
Php 日志 分析 源码,Discuz!源代码分析系列(1)-./include/common.inc.php
weixin_42306688的博客
03-27 306
本楼文章转自www.discuz.net 作者:郭鑫第一个文件当然是分析./include/common.inc.php这个文件,这个是Discuz的核心中的核心,基本上每次操作都include到了这个文件,下面就分七段来分析这个文件:Section One:复制内容到剪贴板代码://定义PHP一些环境error_reporting(0);set_magic_quotes_runtime(0);/...
dede common.inc.php on line 285,Dede织梦系统后台升级更新后出现的空白
weixin_39875192的博客
04-14 349
DedeCMS Error: (PHP 5.3 and above) Please set 'request_order' ini value to include C,G and P (recommended: 'CGP') in php.ini,more...(PHP 5.3 and above) Please set 'request_order' ini value to include ...
common.inc.php 乱码,织梦dedecms网站模板乱码的几种解决方法
weixin_42361764的博客
03-19 332
织梦Dedecms网站安装模板乱码的问题很多站长们都可能会遇到,一个不留神,没有注意到gbk与utf8的编码格式,一安装就乱码了等等;出现模板乱码这种问题大多数是因此dedecms模板编码问题导致的乱码,解决办法我们可以使用一些相关软件打开,然后设置页面编码即可了。一、乱码是因为字符编码不一致造成的,出现的原因有以下几种:1、你模板采用的字符编码与你安装的版本字符编码不一致;比如你安装的是UTF-...
解决织梦 \include\userlogin.class.php on line 21 报错的方法
qqahanson的专栏
02-24 1784
解决织梦 \include\userlogin.class.php on line 21 报错的方法     dede\templets 找到 index_body.htm  文件 把这些注释掉。 $(function() {    $.get("index_testenv.php",function(data)   {     if(data !== '')  
dede后台登陆出现include\\userlogin.class.php on line 21 怎么解决
IT技术宅-北方的刀郎
03-21 2083
后台登陆出现include\userlogin.class.php on line 21 怎么解决2013-03-28 16:59匿名 | 分类:其他编程语言 | 浏览584次后台登陆出现include\userlogin.class.php on line 21 怎么解决论坛没找到相关资料 在线求高手帮忙啊!2013-03-28 17:03网友采纳dede\templets找到 index_bo
.inc php,PHP出错信息Warning: require_once(./include/common.inc.php)解决办法
weixin_34142444的博客
03-10 511
首先申明,这个问题,除了Discuz!各系列,其实还有很多程序会出现,比如wordpress等。由于这类问题多次出现,于是在这里做一个解决记录。简单来讲,这个问题是由于目录权限不足解决的,特别是在Windows+IIS中经常出现。[php]require_once('./include/common.inc.php')[/php]这句代码大约的意思是,取得当前程序文件所在的顶级目录下,某个目录下的...
dedecmsphp7下的一些常见问题
江枫渔火
08-27 5348
一、 无法获取错误信息,一片空白 一片空白是无法调试的, 所以要做的第一件事, 能够输出错误信息。 打开 include/common.inc.php 找到下面的代码 //error_reporting(E_ALL); error_reporting(E_ALL || ~E_NOTICE); 改为 error_reporting(E_ALL); //error_reportin...
/DedeCMS/templets/plus/userup.php
最新发布
05-27
`/DedeCMS/templets/plus/userup.php` 是织梦(DedeCMS) 的一个文件上传处理脚本,通常用于用户上传文件到网站。该文件包含了文件上传的处理逻辑和一些安全检查,以确保上传的文件符合网站的要求。 具体来说,`userup.php` 文件会接收用户上传的文件,并对文件类型、大小、后缀等进行检查和过滤。如果上传的文件符合网站的要求,`userup.php` 文件会将文件保存到指定的目录中,并返回上传成功的信息给用户。 需要注意的是,由于文件上传是一个涉及到安全的操作,`userup.php` 文件中的安全检查必须严格执行。同时,为了进一步确保安全,建议对上传的文件进行病毒扫描和安全性检查。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值