织梦漏洞修复大全(使用织梦建站,有许多漏洞)现在整理了一些

最新推荐文章于 2024-08-06 18:15:42 发布
最新推荐文章于 2024-08-06 18:15:42 发布
阅读量2.5k 收藏 8
点赞数 2
分类专栏: web 阿里云服务器漏洞 文章标签: cms bug web service 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sy_3714/article/details/108051618
版权
本文整理了使用织梦建站时遇到的各种安全漏洞,包括member文件夹下的漏洞、支付模块注入、/include/common.inc.php文件漏洞、任意文件上传漏洞等,并提供了详细的修复方案和代码修改建议。
摘要由CSDN通过智能技术生成

文章目录

使用织梦建站,阿里云中反馈了许多漏洞

现在给大家整理一下织梦的漏洞,建议收藏,会经常更新

1、member文件夹下的漏洞

如果用不到会员功能,建议直接删除member文件夹

2、dedecms /include/payment/alipay.php支付模块注入漏洞修复方案

漏洞名称:dedecms支付模块注入漏洞

漏洞描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET[‘out_trade_no’]未进行严格过滤。

解决方案:
大约在136
$order_sn = trim($_GET['out_trade_no']);
修改为

$order_sn = trim(addslashes($_GET['out_trade_no']));

3、/include/common.inc.php文件漏洞

在 /include/common.inc.php 中
找到注册变量的代码
foreach(Array('_GET','_POST','_COOKIE') as $_request) { foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v); }
修改为

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
         foreach($$_request as $_k => $_v) {
                    if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
                            exit('Request var not allow!');
                   }
                    ${$_k} =
最低0.47元/天 解锁文章
sy_3714
关注
专栏目录
漏洞情报】复现任务
liangtaiwei的博客
12-13 2491
一、漏洞概述 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS
漏洞复现--织梦CMS_V5.7任意用户密码重置漏洞
HengMengSec的博客
08-16 2127
织梦内容管理系统(DeDeCMS)以其简单、实用、开源的特点而著名。作为国内最知名的PHP开源网站管理系统,它在多年的发展中取得了显著进步,无论在功能还是易用性方面都有长足的发展。该系统广泛应用于中小型企业门户网站、个人网站、企业和学习网站建设。在中国,DedeCMS被认为是最受欢迎的CMS系统之一。但是,最近发现该系统的一个漏洞位于member/resetpassword.php文件中。由于未对接收的参数safeanswer进行严格的类型判断,攻击者可以利用弱类型比较来绕过安全措施。
DedeCms 织梦系统 漏洞 上传webshell复现 四种方法 超详细
qq_48368964的博客
08-03 528
DedeCMS织梦团队开发PHP 网站管理系统,它以简单、易用、高效为特色,组建出各种各样各具特色的网站,如地方门户、行业门户、政府及企事业站点等。
织梦CMS渗透测试:从弱口令到接管webshell
最新发布
xt350488的博客
08-06 1329
关于交流群,后台添加即可401验证,在网络通信和HTTP协议中,特指一种状态码——401 Unauthorized(未经授权)。当客户端尝试访问受保护的资源时,如果未能提供有效的身份验证信息,或者提供的信息不足以获得访问权限,服务器就会返回401状态码,表示请求未被授权。
织梦漏洞
showso2006的专栏
09-06 1020
<br />最近网站被人挂马,360狂报,真的很影响网站形象。<br />经检查,原来是织梦的模板机制漏洞,只要利用织梦的会员管理功能,发表文章,上传一个带有gif89a的欺骗图片,再访问那篇文章即可以执行脚本代码。然后实现上传木马脚本到网站,就可以为所欲为。<br /> <br />另外,即使你清除了木马,用360检查还是会报警的,只有等360再次检查时发现没问题,才会清除报警。如果要快,可以使用360的验证码嵌入到网站,登录自己的账号,点击验证,大概需要在半小时之后才会再次检查。
织梦guestbook.php漏洞,织梦dedecms漏洞大全 | 志博日记
weixin_42512249的博客
03-12 899
1.dedecms文件任意上传漏洞漏洞一文件位置:/dede/media_add.php找到64行$filename = $savePath."/".$filename;改成$filename = $savePath."/".$filename; if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA...
织梦CMS阿里云提示漏洞修复方法
PHP错误汇总
11-20 290
站长***开始也是用的织梦cms,由于织梦cms经常报漏洞后来就换成了现在的帝国CMS。 dedecms漏洞问题都是众所周知的了,织梦cms在用阿里云ECS服务器的时候,阿里云服务器后都会提示各种各样的织梦CMS漏洞,dedecms漏洞。 遇到这种情况应该怎么办了,***方法就是修补这些提示的漏洞了。 如下图: 下面精准像素织梦CMS教程为大家搜集了一下这些漏洞的全部解决办法,以免大家到处去找,希望对大家有所帮助: 1、织梦dedecms common.inc.php文件SESSION变量覆盖.
dedecms织梦日志暴露后台地址漏洞BUG修复
09-07 556
然后修改/include/common.inc.php中DEDEDATA变量,将:define('DEDEDATA', DEDEROOT.'/data');修改tplcache缓存文件目录:登陆后台 > 系统 > 系统基本参数 > 性能选项,将模板缓存目录值改为 /../data/tplcache。首先用FTP或远程登陆的方式将data/mysql_error_trace.inc更名成 mysql_error_你喜欢的任意字符.inc。通过FTP将/data/文件夹移至web根目录的上一级目录;
织梦dede5.8抢先体验版
09-26
在描述中提到,织梦dede5.8的新版本主要在安全性能上有了显著提升,这可能是修复了已知的安全漏洞,增强了对SQL注入、XSS跨站脚本等常见攻击的防护,以保护网站数据的安全。此外,提前体验版本让用户有机会在正式...
仿想推网织梦源码程序.rar
08-08
7. **安全和优化**:在使用开源源码搭建网站时,需要注意安全问题,比如定期更新系统以修复安全漏洞,以及进行性能优化,如合理设置缓存、优化数据库查询等。 8. **模板引擎**:织梦CMS使用其自有的模板引擎,允许...
织梦评论插件
03-29
织梦内容管理系统是一款广泛使用的开源PHP网站建站系统,它提供了丰富的模板和功能,便于用户构建个性化网站。而这款评论插件则是为了进一步提升用户体验,增强网站与访客之间的互动。 评论插件在网站中的作用主要...
物流货运类企业通用织梦PHP源码.zip
10-04
织梦CMS是一款开源的PHP网站建站系统,以其易用性、灵活性和强大的功能在中小企业建站领域广受欢迎。下面将详细阐述该源码的主要特点、核心功能以及如何利用它来搭建一个高效的物流货运企业网站。 一、织梦PHP框架 ...
dedecms织梦快照被挟持和篡改入侵漏洞修复
09-07 285
5-3、每一个模板htm文件都要细心检查是否有挂马代码存在,检查你的模板文件夹里是否有后门文件,比如php文件,asp文件,其他可疑的格式文件一律删除,删错了也不用担心,有整站打包的备份在。5-4、你备份文件中的文档图片文件夹 uploads 文件夹,每一个文件夹都要打开,都要细心检查是否有后门文件,除了图片文件和你的附件,其他的一律删除,删错了也不用担心,有整站打包的备份在。5-1、每一个跟模板有关的js文件都要一一打开来细心检查,因为挂马很多在js文件中,不然你前面和后面的工作都白做了。
织梦dedecms漏洞修复
06-26 1503
自己用dedecms在阿里云上搭建了套网站,之后阿里云漏洞提示,织梦有多个漏洞需要我修复,发我邮箱,今天整理了下,我遇到的漏洞,及我修复的过程。漏洞描述:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。解决办法:打开根目录下/member/soft_add.php(在15...
织梦dedecms5.7漏洞修复大全
徊忆羽菲
05-21 2204
织梦dedecms漏洞修复大全任意文件上传漏洞修复一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)二、后台文件任意上传漏洞三、 /include/uploadsafe.inc.php (有2个地方:)(SQL)注入漏洞修复一、 /include/filter.inc.php文件,搜索(大概在46行的样子)二、/member/mtypes....
织梦漏洞利用
weixin_53210070的博客
12-14 1584
Dedecms网站建立 php打开网站,开始安装 漏洞利用原理 dedecms系统中使用了SQL语句防注入功能引了的安全警告。在自定义模模型中使用了union|sleep|benchmark|load_file|outfile之一都会引发这个警告,此外采集的内容,如果有‘union 这类语法也会出现在这个警告。解决办法就是把安全检查关掉,打开include下面的dedesql.class.php 和dedesqli.class.php,$this->...
DedeCms织梦系统漏洞复现
LIU6636LIU的博客
03-13 2072
1 部署好之后发现系统默认管理路径是dede,登陆管理后台可以通过地址然后有dedecms安全提示直接打开根目录修改dede文件夹为LYP重新进去管理员后台对数据进行还原看一下网站的地址接着生成新的网站然后即可访问网站,CMS搭建完毕首先打开后台管理页面开启会员功能这样就可以注册一个账户。
织梦CMS <=5.7 SP2 file_class.php 任意文件上传漏洞
zxy840552216的博客
06-02 235
漏洞 DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞 简介 dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell. 文件 /dede/file_class.php 修复 打开 /dede/file_class.php 找到大概在161行 else if(preg_match("/.(".$fileexp.")/i",$filename)) 改成 else i
织梦CMS建站教程:环境配置与入门
织梦建站详细教程是一份指导如何使用织梦CMS进行网站构建的教程,包括了系统介绍、环境配置、织梦标签的学习等内容。教程中提到了APMServ5.2.6这款集成软件,它能快速搭建Apache、PHP、MySQL等服务器环境。” 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值