您好,欢迎来到学长源码!
热门推荐: html模板 网站模板 magento主题 织梦模板 微信小程序 h5小游戏 Linux教程 源码教程 数据库教程 Magento 2文档 android教程 IOS教程 DedeCMS文档 微信开发

JSP源码

C#源码

企业网站

阿里云提示织梦common.inc.php文件SESSION变量覆盖漏洞

分类:DedeCMS教程 来源:网络收集 发布:学长源码 时间:2017-11-19

最近很多人反馈说阿里云后台提示织梦common.inc.php文件SESSION变量覆盖漏洞会导致SQL注入,黑客可以直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,下面告诉大家怎么修复这个漏洞:

首先找到并打开/include/common.inc.php文件,在里面找到如下代码:

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )

将其替换为如下代码:

if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )

修改完成后保存并替换原来的文件就可以了,希望对大家做DedeCMS网站有所帮助。

转载请注明:学长源码 » 阿里云提示织梦common.inc.php文件SESSION变量覆盖漏洞

上一篇 下一篇

图文推荐