dedecms安全漏洞之/include/common.inc.php漏洞解决办法
发布:smiling 来源: PHP粉丝网 添加日期:2015-03-24 14:40:19 浏览: 评论:0
1.受影响版本DEDECMS 5.7、5.6、5.5.
2.漏洞文件/include/common.inc.php
3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量.
描述:目标存在全局变量覆盖漏洞.
危害:
1.黑客可以通过此漏洞来重定义数据库连接。
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。
临时解决方案:
在 /include/common.inc.php 中,找到注册变量的代码:
- foreach(Array('_GET','_POST','_COOKIE') as $_request)
- {
- foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v); //开源软件:phpfensi.com
- }
- //修改为代码如下:
- foreach(Array('_GET','_POST','_COOKIE') as $_request)
- {
- foreach($$_request as $_k => $_v) {
- if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
- exit('Request var not allow!');
- }
- ${$_k} = _RunMagicQuotes($_v);
- }
- }
Tags: dedecms安全漏洞 common inc php
相关文章
- ·关于dedecms后台安全提示去除“强烈建议common.inc.php文件属性(2019-01-03)
- ·dedecms的include文件夹是干什么的?(2019-03-25)
- ·dedecms程序/plus/guestbook/edit.inc.php安全漏洞修复解决方法(2019-05-09)
- ·dedecms php.ini register_globals must is Off(2013-11-28)
- ·DEDECMS在PHP5.4不能正常运行怎么办(2014-03-16)
- ·dedecms 由于你的站点的PHP配置存在限制(2014-03-16)
- ·DeDeCms5.7在php5.3+下出错的解决方法(2014-03-17)
- ·php导入文件夹图片保存到dedecms中(2014-09-10)
- ·php5.4 织梦dedecms后台登录空白问题(2014-09-21)
- ·dedecms中runphp=yes标签调用方法(2014-10-17)
- ·dedecms出现DedeCMS Error:Tag disabled:php(2014-11-07)
- ·DedeCMS Error:Tag disabled:"php" more...! (2014-11-07)
- ·使用phpmyadmin修改DedeCMS管理员用户名(2014-11-10)
- ·【随笔】兄弟!别被忽悠了,搭个网站没那么复杂(2014-11-11)
- ·scanv检测网站提示有DedeCMS 5.7SP1 /plus/download.php url重定向漏洞(2014-11-11)
- ·DEDE织梦后台出现 include\userlogin.class.php on line 21是怎么回事?(2014-11-14)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)