织梦模板建站、织梦仿站,推荐选跟版网(专业织梦模板定制下载站),您可以把织梦模板网:加入收藏夹添加到桌面

收藏跟版网图片按钮
亲,跟版网是专业的DEDECMS模板下载和定制开发服务商!您可以选择<登录>或者<注册>

收藏|地图|反馈|帮助

跟版网-专业只为织梦模板

跟版网 > 织梦教程 > 织梦安全 > dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决

dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决

作者:DEDECMS建站网 关注: 时间:2016-08-16 14:16

内容详情
   以下内容您可能感兴趣:  
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法:
 
补丁文件:/include/common.inc.php
 
漏洞描述:dedecms的/plus/advancedsearch.php中,直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入
 
dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法
 
1、搜索如下代码(68行):
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
 
2、替换 68 行代码,替换代码如下:
 
if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )
 
修改前请备份好文件,将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题。

跟版网-专业织梦模板下载平台,转载请注明出处:http://www.genban.org/news/dedecms-14195.html

     精心为您推荐:  
     邀您关注:  

扫描左侧二维码即可在手机端访问此页面

跟版网官方微信公众账号

扫描左侧二维码即可关注跟版网官方微信公众号,获取金币模板,还可以免费仿站哦!

跟版网官方QQ群

扫描左侧二维码即可加入跟版网官方群,免费获取金币资源并可以与其他织梦高手共同交流学习

跟版网率先实现织梦的三网合一网站,从即日起(2015-10-15)日,跟版网会陆续免费分享一批金币资源给需要的朋友,关注本站认证官方微信公众账号并回复相应的提取码,系统会自动将下载地址发送给您,同时这些金币资源也会分享在官方的QQ群中,欢迎各位朋友踊跃加入。另外本站后期会每周选择大家比较喜欢的网站仿制,并免费分享给大家,还有免费送金币活动哦!

上一篇:media_add.php dedecms后台文件任意上传漏洞的解决方案

下一篇:织梦dedecms上传漏洞uploadsafe.inc.php修复方法


评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)

赞助广告