首页 > 原创文章 > 软件开发 > 查看文章

Dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法

所属分类:软件开发 来源: 丁老师原创 发布时间:2017-10-14 10:06 浏览: 6573 IP属地: 深圳

漏洞名称:dedecms cookies泄漏导致SQL漏洞

补丁文件:/member/inc/inc_archives_functions.php

补丁来源:丁老师电商开发自研

漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。

解决方法

1.打开\member\inc\inc_archives_functions.php文件,

找到239行,将

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";

替换为:

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields."dls6.com".$cfg_cookie_encode)."\" />";

如图:


2.批量搜索"$formfields.$cfg_cookie_encode"

3.将$formfields.$cfg_cookie_encode替换为$formfields."dls6.com".$cfg_cookie_encode

如图:


如果你不知道具体如何操作,或者是在打补丁的时候遇到了问题,不能解决,可以联系丁老师协助解决。


标签:

相关文章

Thinkphp的的代码为什么改了没效果?删...

有一个使用ThinkPHP框架开发程序的同学,遇到了这样一个问题,程序的代码明明已经改了,但在执行时还是按照以前的代码逻辑执行的,新修改的没有起到效果,并且他为了测试程序,都已经把这个程序文件删除了,但程序还是能执行,不得已求助于丁老师...

最新微信小程序定制开发报价明细(附避坑指南)

一、开发前期基础费用(一)认证费用微信官方收取小程序认证费用,企业主体为300元/年。若已有认证过的公众号,可免费复用资质进行小程序认证。个人主体认证费用为30元/年,但个人开发者在小程序功能和应用场景上存在较多限制,如无法开通微信支付...

R语言读取多个zip文件数据的方法

如何实现用R语言一次读取多个zip文件,获取zip文件里的数据?今天丁老师教给大家。R语言可以使用zip_vector函数,可以读取所有zip压缩文件里的内容,并且无需使用循环。代码示例:datprocessorC <- func...

小程序想升级,是二次开发好还是重做划算?

有同学咨询丁老师,他们公司之前开发的微信小程序,已经运行了四年多,不管是从UI界面上来说,还是功能使用上,都不太理想,想对小程序进行升级改造,那么是对小程序进行二次开发好呢,还是重新做好呢?今天丁老师针对这个问题,从小程序升级所涉及的开...

推荐文章

百度编辑器ueditor自动添加p标签换行的...

在实际工作中发现,有个编辑器每次保存或者修改后,都会自动在内容顶部和底部增加几行,烦人的很,一直找不到解决办法。后来发现原来是自己代码的问题。解决办法:内容在textarea中,不要换行不要写成:<textarea{content} ...

FastAdmin后台列表默认分页数量由10...

没那么多废话,直接上修改方法public\assets\js\require-table.jspageSize: Config.pagesize || localStorage.getItem("pagesize") |...

BT宝塔升级方法

由老版本7.2自动升级时,会出现很多问题,建议在终端手动升级。升级命令:curl http://download.bt.cn/install/update_panel.sh|bash

性价比最高的内网穿透方案

内网穿透,是指外网可以访问内网,没有固定IP的服务器,所以需要中间件来进行通讯,目前稳定成熟的中间件软件,要么价格太贵,要么就是只能使用标准服务,不能完全的定制化。那么,到底有没有一个性价比最优的方案呢?回答是肯定的,答案就是使用云服务器+...