DedeCMS 全版本通杀SQL注入漏洞利用代码及工具
发布:smiling 来源: PHP粉丝网 添加日期:2014-11-06 11:01:34 浏览: 评论:0
目前官方最新版已修复该漏洞
V5.7.37 GBK正式版20140228常规更新补丁
http://www.dedecms.com/pl/
http://www.wooyun.org/bugs/wooyun-2014-051889
http://www.wooyun.org/bugs/wooyun-2014-051950
请删除 plus/recommend.php 你懂的.
dede/config.php, 更新cookies加密密码
include/helpers/channelunit.helper.php,禁用标签提示.
include/uploadsafe.inc.php,可能导致SQL注入漏洞修复,删除此句:$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']); 原理搜 str_replace 注入
member/soft_edit.php,文件上传过滤
member/buy_action.php,加强字符串加密函数提升安全性
Tags: DedeCMS通杀SQL DedeCMS注入漏洞
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)