阿里, 阿里云, 里云, 提示, 织梦模板建站程序
很多用户用到阿里云网站站点的服务器,会经常碰到各种安全提示,不得不说阿里云这一块做的还是很不错的。 今天介绍下【阿里云提示织梦模板建站程序dedecms模版SQL注入漏洞修复具体的方法】。 问题原因:dedecms的/member/soft_add.php中,对输入网站的模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。 关于织梦模板建站程序dedecms网站的模板SQL注入漏洞修复具体的方法,主要是文件/member/soft_add.php。 搜索:$urls.="{dede:linkislocal='1'text='{$servermsg1}'}$softurl1{/dede:link} ";(大概在154行左右)替换成if(preg_match("#}(.*?){/dede:link}{dede:#sim",$servermsg1)!=1){$urls.="{dede:linkislocal='1'text='{$servermsg1}'}$softurl1{/dede:link} ";}老规矩大红色地方标记了修改的地方,然后保存,接着备份原文件,然后名站分类目录修改好的文件即可。 阿里 , 模版 , 注入 |
阿里云服务器提示织梦/include/uploadsafe.inc.php漏洞修复方法