dedecms 阿里报错有漏洞

最新推荐文章于 2021-03-02 08:52:32 发布
最新推荐文章于 2021-03-02 08:52:32 发布
阅读量358 收藏
点赞数
分类专栏: windows 文章标签: uploadsafe.inc.php common.inc.php 漏洞 织梦
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tingting0805/article/details/83781229
版权

1.common.inc.php

  解决方法:

打开include/uploadsafe.inc.php文件

(1)找到第8行左右或者搜索 : $cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";

          改为

         $cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml|htm|html";

(2)找到五十五行左右或搜索:$image_dd = @getimagesize($$_key);

        下面增加一行代码if($image_dd == false){ continue; }

保存就ok了,记得备份原文件哦

2.uploadsafe.inc.php

临时解决方法:

打开 /include/common.inc.php  在101行左右找到注册变量的代码
foreach(Array('_GET','_POST','_COOKIE') as $_request)
    {
        foreach($$_request as $_k => $_v)
        {
            if($_k == 'nvarname') ${$_k} = $_v;
            else ${$_k} = _RunMagicQuotes($_v);
        }
    }
修改为


foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
         foreach($$_request as $_k => $_v) {
                    if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
                            exit('Request var not allow!');
                   }
                    ${$_k} = _RunMagicQuotes($_v);
    }
}

 

3.alipay.php

解决方法

打开/include/payment/alipay.php 在137行左右找到代码

$order_sn = trim($_GET['out_trade_no']);  改为 $order_sn = trim(addslashes($_GET['out_trade_no']));

 

常见的三个阿里报错漏洞,可参考一下

 

 

tingting0805
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dedecms注入漏洞 search.php,Dedecms最新注入漏洞分析及修复方法
weixin_33050117的博客
03-18 1430
最近看到网上曝出的dedecms最新版本的一个注入漏洞利用,漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中,发现无法复现。原因是此漏洞的利用需要一定的前提条件,而原分析文章当中并没有交代这些,所以这里将我的分析过程以及一些触发的必要条件总结了一下。一. 漏洞跟踪发布时间:2013年6月7日漏洞描述:DedeCMS是一个网站应用系统构建平台,也是一个强大的网站内容管理系统。基于PHP+...
DedeCMS 存储型xss漏洞1
08-03
DedeCMS的Shop模块开启时,此漏洞就有可能被利用。 ### 漏洞触发 漏洞的触发点位于 `/dede/shops_delivery.php` 文件中的 `des` 参数。在处理 `des` 参数时,系统只使用了 `cn_substrR` 函数进行过滤,而这个...
dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法
日拱一卒无有尽,功不唐捐终入海
09-06 8050
漏洞名称:dedecms cookies泄漏导致SQL漏洞 补丁文件:/member/article_add.php 补丁来源:云盾自研 漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。 解决方法 搜索代码: if
Dedecms 生产环境安全设置
日拱一卒无有尽,功不唐捐终入海
08-25 990
Dedecms安全步骤,安装之后的操作 1 将文件夹dede改名为其他,比如 /fukedh.com/ 2 搜索ad.dedecms.com,文件D:\WebSite\fukedh.com\www\gzadmin\templets\login_ad.htm 删除如下这一段: /dedecms/loginad..js">-->           3 继续搜索ad.d
在html中写php的foreach例子
国梁的学习笔记
03-23 9150
<?php foreach ($data as $k => $v): ?> <tr class="tron"> <td align="center"><?php echo $v['id']; ?></td> <td
非常实用的织梦dede所有标签调用方法大全
jishublog
08-20 508
最近研究了一下织梦后台,发现一些非常有用的标签调用的方法,分享给大家~~ 关键描述调用标签: <meta name="keywords" content="{dede:field name='keywords'/}"> <meta name="description" content="{dede:field name='description' function='h...
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
wLHK-Dedecms漏洞整理.pdf
09-20
wLHK-Dedecms漏洞整理 从给定的文件信息中,我们可以看到该文件是关于Dedecms漏洞的整理报告,包含了多个漏洞的详情,包括SQL注入漏洞、XSS漏洞等。下面我们将对这些漏洞进行详细的分析和解释。 首先,我们来看第...
dedecms一键解密工具
10-11
dedecms一键解密工具 用起来方便简单 添加地址直接一键使用 dedecms网络渗透专用
dedecms v5.7(build 20150618)的12个漏洞
热门推荐
ccfxue的博客
06-28 1万+
一打开阿里云后台,发现了12个加急处理的漏洞,还没来得及了解阿里云的漏洞检测原理,直接开始着手修复漏洞searching on baidu... ...  : )1.dedecms支付模块注入漏洞 描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。解决:找到 ...
DedeCMS-----12、DedeCMS循环次数
hekewangzi
11-30 1084
DedeCMS-----12、DedeCMS循环次数
织梦dedecms cookies泄漏导致SQL漏洞
零度飘摇的博客
10-31 3682
dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法 1.打开\member\inc\inc_archives_functions.php文件,找到239行,将 echo ""; 替换为: echo ""; 2.批量搜索"$formfields.$cfg_cookie_encode" 3.将 $formfi
漏洞名称:DedeCms全局变量覆盖漏洞
weixin_34007020的博客
01-16 281
漏洞地址:/include/common.inc.php 临时解决方案: 在/include/common.inc.php中 找到注册变量的代码 foreach(Array('_GET','_POST','_COOKIE')as$_request){foreach($$_requestas$_k=>$_v)${$_k}=_RunMagicQu...
DedeCms v5.7 SQL注入漏洞
网站守护中心
04-13 5377
描述:DedeCms v5.7 SQL注入漏洞WASC Threat Classification 目标存在SQL注入漏洞。 1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。 - 收起 2.漏洞形成原因:dedecms v5.7的/member/ajax_membergroup.php脚本对用户提交给“membergroup”参数的数据在用于SQL查询前缺少过滤,
java代码审计文件包含_代码审计:dedecms本地文件包含及物理路径泄露0day[转]
weixin_35132022的博客
03-02 163
晚餐吃撑了,瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多,赶紧下了套,用editplus搜索了几个关键字,果然发现些问题。(话说平时写代码也喜欢用editplus,小巧方便多年习惯)出现漏洞的两个文件为:Include/payment/alipay.phpInclude/payment/yeepay.php漏洞均出现在respond方法里,估计这两个文件是临时工写的。Incl...
织梦dedecms cookies泄漏导致SQL漏洞修复(2016.9.3日更新)【转】
diaojin7963的博客
11-30 148
本文转自:http://www.genban.org/news/dedecms-17350.html 织梦dedecms cookies泄漏导致SQL漏洞的修复方法。 文件在member/inc/inc_archives_functions.php member/inc/inc_archives_functions.php文件,搜索(大概在239行的样子) ...
dede常见漏洞以及解决方法
IT技术宅-北方的刀郎
03-21 1372
dede常见漏洞以及解决方法2013-09-06 09:27:59     我来说两句       作者:尛雷收藏    我要投稿dede的漏洞公认的多,接手这个网站也接触了不少,现在就把几种接触到的或者了解到的漏洞记录下来,让大家可以提高警惕,防止网站被攻击。1.dede dialog目录下的配置文件漏洞   如果有能力的同学最好好好研究下这个目录下的文件,漏洞太多了,先只说我遇到的一处在inc
dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法
qq_31763129的博客
04-26 1513
漏洞名称:dedecms cookies泄漏导致SQL漏洞补丁文件:/member/inc/inc_archives_functions.php漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。解决方法1.打开\member\inc\inc_archiv...
dedecms的文件上传漏洞有哪些
最新发布
05-16
DedeCMS 的文件上传漏洞主要有以下几种: 1. 文件类型检查漏洞DedeCMS 在上传文件时,只做了文件扩展名的检查,而没有检查文件的真实类型,导致攻击者可以通过伪装文件类型的方式来上传恶意文件。 2. 目录遍历...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值