DedeCMS 5.7 config.php 跨站脚本漏洞

最新推荐文章于 2021-04-02 00:45:43 发布
最新推荐文章于 2021-04-02 00:45:43 发布
阅读量478 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/security4399/p/3493234.html
版权
漏洞版本:
DedeCMS 5.7
漏洞描述:
DeDeCMS v5.7 在/include/dialog/config.php文件中存在XSS漏洞,攻击者可以利用该漏洞盗取用户Cookie、挂马等。
<* 参考
http://bbs.dedecms.com/612431.html
http://sebug.net/appdir/DedeCMS
*>
安全建议:
升级到官方最新版:
http://www.dedecms.com/

转载于:https://www.cnblogs.com/security4399/p/3493234.html

weixin_30633949
关注
awd的批量脚本 pwn_CTF线下赛AWD套路小结
weixin_39784972的博客
12-20 1763
CTF线下赛AWD套路小结本文已在先知社区发表,欢迎访问,链接h最近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了。一、AWD模式简介AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。一般分配Web服务器,服务器(多数为Linu...
修复swfupload2.5版存在的XSS跨站攻击漏洞
10-08
修复swfupload2.5版存在的XSS跨站攻击漏洞,测试无错误版本。
include config.php,DedeCMS 5.7 /include/dialog/config.php 跨站脚本漏洞修复方法
weixin_39963440的博客
03-21 378
DedeCMS Dialog目录下配置文件XSS漏洞今天无忧小编自己的一个使用dedecms建站系统建立的网站用360网站检测工具检测到了一些漏洞,其中有一个XXS漏洞,该漏洞的说明是“DedeCMS的Dialog目录下的配置文件的多个参数未过滤,导致跨站脚本攻击漏洞”。DedeCMS 5.7 /include/dialog/config.php 跨站脚本漏洞dedecms漏洞网站检测出漏洞相信所...
dedecms v5.7提示php.ini register_globals must is Off错误的解决方法
dawanai5802的博客
04-06 126
今天刚下载了一个dedecmsv5.7系统在本地测试时突然提示php.ini register_globals must is Off,后来查了一下原因是我的php.ini必须为off才可以 错误提示:dedecms安装中php.ini register_globals must is Off! 的解决方法 原因分析:我们只要把php中的register_globals 改成o...
dede config.chche.inc.php,dede/config.php · 辉辉菜/三强源码 - Gitee.com
weixin_35995661的博客
03-09 199
/*** 管理目录配置文件** @version $Id: config.php 1 14:31 2010年7月12日Z tianya $* @package DedeCMS.Administrator* @copyright Copyright (c) 2007 - 2010, DesDev, Inc.* @license http://hel...
/dede/plus_bshare.php,DEDE CMS 最新漏洞整理 - 接dedecms挂马防护、漏洞处理
weixin_33970994的博客
03-23 347
dedecms支付模块注入漏洞:引起的文件是/include/payment/alipay.php问题解决:找到:$order_sn = trim($_GET['out_trade_no']);将其修改为如下代码:$order_sn = trim(addslashes($_GET['out_trade_no']));-----------------------------------------...
config.php渗透,phpMyAdmin 渗透利用总结
weixin_32573931的博客
03-23 412
前言总结一下常见的phpmyadmin漏洞利用姿势简介phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行...
基于DedeCMS 5.7PHP企业网站源码下载
5.7版本是DedeCMS的一个较新版本,其更新可能包括性能优化、安全性增强、用户界面改进等方面。 3. UTF-8编码方式 UTF-8是一种针对Unicode的可变长度字符编码,能够表示Unicode标准中的任何字符,是互联网上使用最广...
DedeCMS 存储型xss漏洞1
08-03
在本文中,我们将深入探讨一个特定的存储型 XSS(跨站脚本漏洞,该漏洞存在于DedeCMS 的会员功能组件 `shops_delivery.php` 中的 `des` 参数。 ### 漏洞概述 这个存储型 XSS 漏洞允许攻击者通过注入恶意脚本到 `...
阿里云PHP防注入脚本:实战防止XSS和CSRF攻击
例如,对于PHP CMS如PHPCMS V9的base.phpPHPWind 8.7的sql_config.phpDEDECMS 5.7的common.inc.php,DiscuzX2的config_global.php,Wordpress的wp-config.php,以及Metinfo的head.php,或者WordPress的wp-config...
PHP旅游网站.zip
05-11
8. 其他配置文件:如`config.inc.php`,设置数据库连接信息、系统参数等。 通过这个PHP旅游网站,开发者可以快速搭建一个功能完善的在线旅游服务平台,包括旅游产品展示、预订、支付等功能,并且可以通过织梦的后台...
dedecms5.7(织梦)源码解析之后台登录
weixin_34391445的博客
11-29 474
前言 在安装完成之后,我们通常会进入后台,那么登录自然是必不可少的一步,下面我们就来看看,织梦的登录在源码中是究竟如何完成的吧。 过程 首先,如果我们直接访问域名/dede,那么程序走的肯定是index.php,文件源码如下: <?php /** * 管理后台首页 * * @version $Id: index....
dedecms XSS漏洞解决办法2016年4月13日
网站守护中心
04-13 3014
dedecms XSS漏洞解决办法发现时间: 2014-02-26 漏洞类型: 跨站脚本攻击(XSS) 所属建站程序: DedeCMS 所属服务器类型: 通用 所属编程语言: PHPdedecms XSS漏洞解决办法 描述: dedecms XSS 危害: dedecms XSS 解决方案: 请升级至官方最新版本或下载最新补丁
dedecms 如何修补XSS跨站脚本攻击
书写人生
12-04 1081
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意 攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的 shell。技术虽然是老技术,但是其思路希望对大家有帮助。
dedecms 5.7 download.php 代码执行漏洞,Dedecms V5.7后台任意代码执行[CVE-2018-7700] [高危漏洞][官方未修复]...
weixin_36410316的博客
04-02 782
漏洞的前提是登陆了后台,所以要不要修复大家看着办吧!该漏洞的触发点为/dede/tag_test_action.php。起因是csrf_check()的绕过,导致可执行任意代码。查看/dede/tag_test_action.php文件的源码:如果直接访问这个文件,会进入csrf_check()函数。提示token错误,且退出执行。跟进csrf_check(),该函数所在文件为dede/conf...
PHP 自 5.2 到 5.6 中新增的功能详解[转]
weixin_34239169的博客
02-07 532
2019独角兽企业重金招聘Python工程师标准>>> ...
Swfupload.swf 跨站脚本——漏洞复现
W小哥
12-18 4740
一、swfupload.swf简介 SWFUpload 是一款优秀的 Flash 上传控件,它可以非常好的增强 Web 端程序的用户上传体验。SWFUpload 自由灵活的 JavaScript 接口允许开发者自定义包括 HTML/CSS 在内的几乎所有 UI 样式,被广泛运用在大量站点的上传模块中,如 Youtube 和 WordPress 。 此漏洞可能导致严重的 XSS 安全隐患,但是官方一直没有修复。 二、漏洞复现 payload如下 http://XXX/images/swfupload/swfu
dedecms 5.7sp1中/plus/download.php下载重定向漏洞
主流网络
12-27 3739
2015‎年‎12‎月‎18‎日从官网下载的DedeCMS-V5.7-UTF8-SP1中存在该漏洞。     今天在使用知道创宇的scan安全中心扫描网站时发现/plus/download.php存在url重定向漏洞(攻击者可利用该漏洞进行钓鱼等欺诈行为)。截图如下: 查看后发现在dedecms 5.7sp1的/plus/download.php中67行存在如下图中的代码,即接收参数后
Dedecms 5.7 SP2后台getshell
一个安全研究员
07-02 9903
前言 最近也打算研究研究各大cms的漏洞了,正好看到一篇关于dedecms后台getshell的文章,所以也自己动手复现一下,这样以后遇到了也更容易上手。该漏洞涉及的版本是dedecms的最新版吧,下载地址: http://www.dedecms.com/products/dedecms/downloads/ 复现 版本: 我这里测试的是utf8版,这个版本应该不影响。 漏洞位...
dedecms-v5.7.95-utf8.zip
最新发布
12-19
dedecms-v5.7.95-utf8.zip是一个开源的内容管理系统(CMS)软件压缩包。这个压缩包包含了dedecms v5.7.95版本的所有程序文件和相关资源,采用了UTF-8编码格式。 这个CMS软件是基于PHP+MySQL开发的,并且支持插件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值