dedecms安全漏洞之/include/common.inc.php漏洞解决办法

最新推荐文章于 2023-03-23 12:31:54 发布
最新推荐文章于 2023-03-23 12:31:54 发布
阅读量383 收藏
点赞数
分类专栏: 织梦 文章标签: php 数据库
原文链接:https://hs.huanhuanhuishou.com/
版权

1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞可以任意覆盖任意全局变量。

描述:

目标存在全局变量覆盖漏洞。


1.受影响版本DEDECMS 5.7、5.6、5.5。
2.漏洞文件/include/common.inc.php
3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。

危害:

1.黑客可以通过此漏洞来重定义数据库连接。
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。


临时解决方案:

在 /include/common.inc.php  中
找到注册变量的代码

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

         foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);

}

修改为

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

         foreach($$_request as $_k => $_v) {

                    if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){

                            exit('Request var not allow!');

                   }

                    ${$_k} = _RunMagicQuotes($_v);

    }

}

zxy840552216
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
织梦php配置文件,织梦dedecms配置文件/include/common.inc.php解读
weixin_34204530的博客
04-01 974
dedecms中配置文件是/include/common.inc.php,我觉得里面的一些思路还是值得借鉴的,比如定义系统路径定义,防sql注入的处理等。各行代码简单释义如下://error_reporting(E_ALL);error_reporting(E_ALL || ~E_NOTICE);//防止页面报错define('DEDEINC', ereg_replace("[/\\]{1,}",...
web应用漏洞.docx
07-05
这些漏洞来自于多种 Web 应用程序,如 ColdFusion、BEESCMS、DedeCMS、Discuz、Drupal、ECShop、ElasticSearch、eWebeditor、FengCMS、FineCMS、Gitlab、Gogs、JBoss、Jenkins、Jolokia、Joomla 等。 一、远程代码...
(转)phpcms2007代码分析(include/common.inc.php
12-12 137
$mtime = explode(' ', microtime());   $phpcms_starttime = $mtime[1] + $mtime[0]; /** 计算脚本开始运行的时间。很常见的写法。最后结算还在程序运行的终点位置。。 */ unset($LANG, $_REQUEST, $HTTP_ENV_VARS, $HTTP_POST_VARS, $HTTP_GET_VAR
Php 日志 分析 源码,Discuz!源代码分析系列(1)-./include/common.inc.php
weixin_42306688的博客
03-27 306
本楼文章转自www.discuz.net 作者:郭鑫第一个文件当然是分析./include/common.inc.php这个文件,这个是Discuz的核心中的核心,基本上每次操作都include到了这个文件,下面就分七段来分析这个文件:Section One:复制内容到剪贴板代码://定义PHP一些环境error_reporting(0);set_magic_quotes_runtime(0);/...
Discuz!源代码分析系列(1)-./include/common.inc.php
dodomail的专栏
11-01 212
本楼文章转自www.discuz.net 作者:郭鑫 第一个文件当然是分析./include/common.inc.php这个文件,这个是Discuz的核心中的核心,基本上每次操作都include到了这个文件,下面就分七段来分析这个文件: Section One: 复制内容到剪贴板 代码: //定义PHP一些环境 error_reporting(0); set_magic_quotes_runt...
dedecms织梦/include/common.inc.php漏洞
09-07 148
3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。2.漏洞文件/include/common.inc.php漏洞文件/include/common.inc.php。1.受影响版本DEDECMS 5.7、5.6、5.5。打开/include/common.inc.php文件。1.黑客可以通过此漏洞来重定义数据库连接。目标存在全局变量覆盖漏洞
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
基于PHP的舞曲程序DEDECMS内核源码.zip
11-21
基于PHP的舞曲程序DEDECMS内核源码.zip 基于PHP的舞曲程序DEDECMS内核源码.zip 基于PHP的舞曲程序DEDECMS内核源码.zip 基于PHP的舞曲程序DEDECMS内核源码.zip 基于PHP的舞曲程序DEDECMS内核源码.zip
PHP代码审计之CSRF-CSRF漏洞源码审计总结
最新发布
04-09
PHP代码审计之CSRF/CSRF漏洞源码审计总结 DedeCMS-V5.7-U TF8-SP2.tar.gz DedeCMS-V5.7-UTF8-SP2.tar .gz DedeCMS-V5.7-UTF8-SP2.tar.gz PHP代码审 计之CSRF.part2.rar (15.67 MB)
wLHK-Dedecms漏洞整理.pdf
09-20
wLHK-Dedecms漏洞整理 从给定的文件信息中,...Dedecms漏洞整理报告中包含了多个漏洞,包括SQL注入漏洞、XSS漏洞等,这些漏洞可能会导致数据库中的数据泄露或修改,因此需要及时修复这些漏洞,以确保数据的安全性。
dede定义全局变量(include/common.inc.php)及调用方式
weixin_30266829的博客
05-19 263
dede定义全局变量的文件include/common.inc.php及使用 在include/common.inc.php文件里,dede定义了大量的全局变量,详细自己去看看 dede模板里调用全局变量的三种方法 1、第一种方法(独立使用) {dede:global.变量名 /},注意闭合,否则会以文本形式输出。如:{dede:global.cfg_soft...
织梦没有common.inc.php,做织梦二次开发时引入公共文件common.inc.php的方法
weixin_39924179的博客
03-11 307
织梦的用户是非常多的,如果我们随便在网上搜索一下的话,你会发现用的人非常的多,其中还包括很多的企业在用织梦系统,虽然织梦dedecms系统功能比较丰富,但是,有时候总是不能满足个别企业或个人的要求,这个时候就要对织梦进行二次开发,要做 织梦二 次开发 就要用到织梦帮助我们封闭的一些类、方法函数等,而要使用这些功能就需要引入common.inc.php文件。 这个文件织梦也没有给我们详细的说明叫什么...
织梦 common.inc.php 设置为只读
一直专注于互联网
03-18 1927
1.强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT);   找到 “common.inc.php”,找到 “安全”,找到站点名称   选择站点名称,拒绝写入,点击应用并确定    ...
织梦php远程连接数据库,织梦dedecms怎么修改数据库连接文件common.inc.php
weixin_30016593的博客
03-11 355
现在织梦dedecms已经在站长圈普及了,不过很多站长都是n年以前的dedecms,虽说是一步步靠着补丁,靠着杀毒走到现在,也且行且不易啊。今天给朋友重新换了个dedecms的程序,因为数据库没有变动,所以就是备份模板和图片即可。其他的都是数据库里面保存的妥妥的。但是还需要注意保存备份哪些文件呢?这就不得不说common.inc.php文件了,当然也就是dedecms数据库连接文件了。首先要说的...
common.inc.php 乱码,织梦dedecms网站模板乱码的几种解决方法
weixin_39883670的博客
03-19 107
织梦Dedecms网站安装模板乱码的问题很多站长们都可能会遇到,一个不留神,没有注意到gbk与utf8的编码格式,一安装就乱码了等等;出现模板乱码这种问题大多数是因此dedecms模板编码问题导致的乱码,解决办法我们可以使用一些相关软件打开,然后设置页面编码即可了。一、乱码是因为字符编码不一致造成的,出现的原因有以下几种:1、你模板采用的字符编码与你安装的版本字符编码不一致;比如你安装的是UTF-...
dedecms织梦安装后COMMON.INC.PHP 文件权限777属性修改无效的解决方法
深圳SEO_SEO笔记_php笔记-小韩SEO成长博客
02-15 5685
今天安装好dedecms之后,按照后台提示的安全设置于是进ftp查看了一下common.inc.php这个文件是777权限,按照官方的要求必须是644权限,所以去修改之后刷新了一下又变回了777权限。那么经过精心的去发现以及查看资料终于得到了解决方案。 于是猜测是有文件文件有写入权限,把权限改了444后问题依然。如何解决?通过测试在后台的点击其它页面文件权限不会改变,那就是一登陆主页产生的写入
织梦dedecms程序安全漏洞include/common.inc.php漏洞解决方法
winkexin的博客
03-23 418
1.受影响版本织梦dedecms 5.7、5.6、5.5。2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。2.漏洞文件/include/common.inc.php。1.受影响版本DEDECMS 5.7、5.6、5.5。1.黑客可以通过此漏洞来重定义数据库连接。文章到此为止 请自行完善吧。
在宝塔php里留后门,揭秘PHP的一种新型留后门方式
weixin_34137872的博客
03-19 379
转载不加作者名字的木JJ。作者:猴子 博客:www.sbmonkey.comphp内大致有这么几种运算符。按运算符号的功能分为:一:算术运算符(+ - * / % ++ --)二:字符串运算符 . 可以叫连接运算符号三:赋值运算符 = += -= *= /= %= .=四:比较运算符 > < >= <= == === <> != !==五:逻辑运算符 &...
/DedeCMS/templets/plus/userup.php
05-27
`/DedeCMS/templets/plus/userup.php` 是织梦(DedeCMS) 的一个文件上传处理脚本,通常用于用户上传文件到网站。该文件包含了文件上传的处理逻辑和一些安全检查,以确保上传的文件符合网站的要求。 具体来说,`userup.php` 文件会接收用户上传的文件,并对文件类型、大小、后缀等进行检查和过滤。如果上传的文件符合网站的要求,`userup.php` 文件会将文件保存到指定的目录中,并返回上传成功的信息给用户。 需要注意的是,由于文件上传是一个涉及到安全的操作,`userup.php` 文件中的安全检查必须严格执行。同时,为了进一步确保安全,建议对上传的文件进行病毒扫描和安全性检查。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值