漏洞 立即留言_dedeCMS留言板注入漏洞的修复方法

最新推荐文章于 2022-09-06 17:46:14 发布
最新推荐文章于 2022-09-06 17:46:14 发布
阅读量673 收藏
点赞数
文章标签: 漏洞 立即留言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39642990/article/details/111542150
版权
本文介绍了如何修复dedecMS留言板存在的注入漏洞,提供了一种非官方推荐的解决方案,涉及修改edit.inc.php文件中的一段代码,通过添加addslashes函数来防止注入攻击。提醒读者在修改前备份文件,并强调及时修复漏洞的重要性。
摘要由CSDN通过智能技术生成

最近公司的网站要开设一个留言板功能,于是便用dedecms做了一个留言板页面,可一上线,就收到阿里云后台的信息提示网站存在一些漏洞需要及时处理,进入阿里云后台,查看了一番,发现漏洞提示:留言板注入漏洞;漏洞描述:dedecms留言板注入漏洞。如下图所示:

从阿里云提示的信息可知,阿里云云安全中心给出的修复方案为:

方案一:使用云盾自研补丁进行一键修复;

方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。

【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

如果不使用官方推荐的解决方案,可以使用网上查找的修复方案,刚在网上查找到一个解决方案,解决方法也比较简单,在此,我便借助马海祥博客的平台将修复方法分享如下:

漏洞名称:dedecms注入漏洞

危险等级:★★★★★(高危)

漏洞文件:/plus/guestbook/edit.inc.php

披露时间:2015-05-22

漏洞描述:dedecms留言板注入漏洞。

修复方法:

查找网站根目录下的/plus/

最低0.47元/天 解锁文章
weixin_39642990
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHPMyWind用户留言板XSS漏洞
include_heqile的博客
04-22 1674
首先我们来介绍一下DOM中的几个方法 createElement(name) name参数用来规定此元素节点的名称 此方法会返回一个Element节点,具有指定的标签名name appendChild()方法方法会返回被添加的节点 可以看一下这段代码实例: <!DOCTYPE html> <html> <bod...
织梦dedecms留言板注入漏洞edit.inc.php修复方法
zxy840552216的博客
05-29 140
我们在采集文章时有时过滤不严谨,导致采集的文章内容中有多个超链接,这时我们可以用SQL命令批量删除文章内容里的超链接。 注意:操作前请先备份一下数据库 后台-系统-SQL命令行工具 执行下列命令,如果文章里面有多个链接,可执行多次。 1 update addonarticlesetbody=replace(body,substring(body,locate('<a',body),locate('>',body,locate('<a ', body))+1-l..
dedecms织梦留言板edit.inc.php注入漏洞修复
09-06 244
dedecms注入漏洞,路径:/plus/guestbook/edit.inc.php。dedecms留言板edit.inc.php注入漏洞修复方法。打开edit.inc.php文件。在这两行中间加入一行以下代码。
漏洞 立即留言_ASPCMS留言板漏洞注入一句话木马插入数据库及修复方法
weixin_39931923的博客
12-19 1269
aspcms主要是信息发布系统,影响版本为asp。漏洞成因,在留言板处对信息处理不当,导致代码注入。可直接将一句话木马插入数据库。数据库默认配置为asp.目录在/data/data.asp下。利用方法,保证默认数据库路径末更改及可留言,就算不能留言,可构造,经测试,基本上末更改aspcms主要是信息发布系统,影响版本为asp。漏洞成因,在留言板处对信息处理不当,导致代码注入。可直接将一句话木马插入...
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
管理后台UI.rar_dedecms_dedecms后台新样式_dedecms和ui
09-24
【标题】"管理后台UI.rar" 是一个与 Dedecms(织梦内容管理系统)相关的压缩文件,其中包含的 "dedecms_dedecms后台新样式_dedecms和ui" 指示了这个资源是针对Dedecms系统的后台界面进行了设计和优化,特别是风格上...
ask.rar_ask module_ask问答_dedecms_mark_ico.gif
09-24
《深入解析DedeCMS问答模块及其模板应用》 在当今互联网时代,互动性强、用户参与度高的问答系统已经成为网站不可或缺的一部分。DedeCMS(织梦内容管理系统)作为一款深受开发者喜爱的开源CMS平台,其丰富的功能和...
Dedecms_20150618_member_sqli (2).py
10-05
dedecms5.7sp1后台(要能够注册member的vip账户后台才可以)存在sql延时注入exp,用火狐得到账户登录的cookie替换,然后Python2.7跑脚本,from乌云雨神 http://www.hekaiyu.cn/hacker/3060.html
留言本的漏洞挖掘总结
weixin_34366546的博客
03-22 278
留言本的功能比较单一,一般针对普通浏览者只有留言的功能。而对于管理员的功能多少在于编写着对留言本的优化。一般管理员有回复留言编辑留言删除留言还有网站用户修改网站基础(类似与标题等)修改。   常见漏洞① Conn.asp暴库漏洞   测试程序:粑粑工作室留言本2.0   漏洞代码: &lt;% dim conn,mydb,db,rs db=dbstr&amp;"data/#baba@...
21、网站渗透:留言板注入漏洞的利用原理及防御实战
郭盛华的CSDN技术博客
10-14 4949
主讲老师:郭盛华 注入漏洞注入漏洞是因为字符过滤不严谨所造成的,可以得到管理员的账号密码等相关资料。 这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。 当我们想要测试某个站点时,一般会架上注入工具对其狂轰乱炸,这样做虽然有时能找到注入点,但还是有些盲目,我个人的看法是:如果有源码的话,就从源码入手,在源码中查找注入点。对于源码,有些朋友可能觉得很难,...
为什么把代码和数据分离可以预防sql注入攻击_从三类常见高危漏洞 洞见那些“风平浪静”的代码...
weixin_39671374的博客
12-03 288
在研发人员眼中,编码开发的目的是实现相关功能逻辑可用,无明显功能 bug。而实际上,在安全人员眼中,很多这样看似没有功能问题的代码,却可以利用来进行安全漏洞攻击。虽然这在很多研发人员眼中是看似天方夜谭,但很不幸,通过以往的无数重大安全事件的验证,这个事实客观存在。本文主要针对三类最有代表性、安全威胁等级最高的安全漏洞进行着重分析,从安全角度介绍看似合理的功能实现代码是如何被 “攻破” 的。所谓 S...
织梦dedecms注入漏洞pm.php修复方法
kakashs
01-15 1239
/member/pm.php这个是dedecms注入漏洞,处理方案如下: 打开/member/pm.php,搜索: elseif($dopost==&amp;#39;read&amp;#39;) { $sql=&amp;quot;SELECT*FROM`dede_member_friends`WHEREmid=&amp;#39;{$cfg_ml-&amp;amp;gt;M_ID}&amp;#39;...
织梦dedecms漏洞修复
06-26 1494
自己用dedecms在阿里云上搭建了套网站,之后阿里云漏洞提示,织梦有多个漏洞需要我修复,发我邮箱,今天整理了下,我遇到的漏洞,及我修复的过程。漏洞描述:dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。解决办法:打开根目录下/member/soft_add.php(在15...
织梦自定义表单SQL命令行批量删除恶意留言
xiaoxiami_wei的博客
09-17 570
织梦自定义表单可以做在线留言系统,通常我们为了避免恶意留言、垃圾留言,会给自定义表单添加验证码, 本文主要讲解一下如果没有添加验证码,而被恶意留言后,怎样用sql命令行工具批量删除自定义表单的垃圾留言。 通常恶意留言通常数量很大,会有几千、甚至几万条留言。如下图: 如果手工删除,那是很不现实的,你删一个星期也删不完。而解决方法很简单,我们直接用织梦后台的sql命令行工具就可以一键删除所有留言方法如下: 1、删除前,注意把有用的留言先审核完成。之后我们就一键删除未审核的留言就可以了。 2、分析表结构。
漏洞 立即留言_web安全之跨站脚本漏洞(XSS)
weixin_39683176的博客
12-19 328
XSS(跨站脚本)概述以及pikachu上的实验操作Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处...
web常见漏洞
阿布哥的读书笔记
04-20 1224
11年江湖11年情 很久没有来这里写写东西、发发牢骚了,
dedecms sql注入漏洞
最新发布
06-28
Dedecms SQL注入漏洞是指在Dedecms系统中存在的一种安全漏洞,攻击者可以通过该漏洞向数据库中注入恶意代码,从而实现对网站的攻击和控制。该漏洞主要是由于Dedecms系统中的parse_str函数存在变量覆盖问题,攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值