dedecms模版soft_add.phpSQL注入漏洞修复方法【网上商城系统web源码】

dedecms模版soft_add.phpSQL注入漏洞修复方法【网上商城系统web源码】
dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。

 
打开文件/member/soft_add.php,搜索(大概在154行):
 
$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
替换为:
 
if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) {
   $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
}
 

人已赞赏
网站教程

织梦搜索添加验证码功能【建站之星成品网站源码】

2020-2-26 22:29:11

网站教程

织梦在PHP7上安装模块时模块包含的文件为空的解决方法【最新个人免签支付系统开源版源码】

2020-2-26 22:29:13

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索
幸运之星正在降临...
点击领取今天的签到奖励!
恭喜!您今天获得了{{mission.data.mission.credit}}积分
Secured By miniOrange