首页 > 原创文章 > 软件开发 > 查看文章

dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法

所属分类:软件开发 来源: 丁老师原创 发布时间:2017-10-14 10:06 浏览: 3168 IP属地: 深圳
点击阅读全文

漏洞名称:dedecms cookies泄漏导致SQL漏洞

补丁文件:/member/inc/inc_archives_functions.php

补丁来源:丁老师电商开发自研

漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。

解决方法

1.打开\member\inc\inc_archives_functions.php文件,

找到239行,将

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";

替换为:

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields."dls6.com".$cfg_cookie_encode)."\" />";

如图:


2.批量搜索"$formfields.$cfg_cookie_encode"

3.将$formfields.$cfg_cookie_encode替换为$formfields."dls6.com".$cfg_cookie_encode

如图:


如果你不知道具体如何操作,或者是在打补丁的时候遇到了问题,不能解决,可以联系丁老师协助解决。


相关文章

关于微信小程序开发的一些常见问题说明

丁老师软件是专业的微信小程序开发服务商。自2017年以来,丁老师先后开发出100余款微信小程序,微信小程序具有轻量化、易于传播等特点,适合线上品牌推广、线上营销等场景。目前微信小程序依然状态火热,想做小程序客户络绎不绝,丁老师持续接单中...

nginx环境下php页面总是缓存刷新也不行...

nginx环境下php页面总是缓存刷新也不行的解决办法

uniapp开发微信小程序怎么模拟位置?

废话不多说,直接上货。在微信开发者工具调试栏,找到Sensor(传感器)。Geolocation,勾选启用,下边输入经纬度即可!

开发一个鸿蒙APP应用要多少钱?

最近有很多客户咨询,想要开发鸿蒙APP应用,但是开发一个鸿蒙APP要多少钱呢?和普通的安卓APP相比,价格是贵还是便宜呢?今天丁老师来介绍一下。鸿蒙应用,特别是采用原生鸿蒙技术栈,比如ArkTS/ArkUI进行开发,费用成本大概与普通安...

推荐文章

bt宝塔升级方法

由老版本7.2自动升级时,会出现很多问题,建议在终端手动升级。升级命令:curl http://download.bt.cn/install/update_panel.sh|bash

CI框架页面添加全局变量的方法

CI框架是一款很小却又非常强大的PHP程序框架,非常适合用来搭建中小型网站以及扩展程序。有同学问到,在使用CI框架时,比如要对全站的标题、公司信息、电话等设置一个全局变量,不用每个页面都写死,该怎么办呢?丁老师来教你:1.打开页面的控制器文...

pdf和图片怎么添加水印

pdf添加水印,可以使用专业的pdf工具,如AdobeAcrobat、福昕PDF阅读器等,支持文字和图片形式的添加水印,支持透明度设置、水印位置设置等。图片添加水印,可以使用photoshop软件,但是photoshop太大了,而且使用起来...

uniapp开发微信小程序时,微信开发者工具...

在使用uniapp开发微信小程序,微信开发者工具调试时,明明已经给了获取位置权限,但还是提示需要打开gps获取位置,具体解决办法如下:打开uniapp的manifest.json文件,切换到源码模式,找到mp-weixin节点"p...