漏洞名称:dedecms cookies泄漏导致SQL漏洞
补丁文件:/member/inc/inc_archives_functions.php
补丁来源:丁老师电商开发自研
漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。
解决方法
1.打开\member\inc\inc_archives_functions.php文件,
找到239行,将
echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";替换为:
echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields."dls6.com".$cfg_cookie_encode)."\" />";如图:
2.批量搜索"$formfields.$cfg_cookie_encode"
3.将$formfields.$cfg_cookie_encode替换为$formfields."dls6.com".$cfg_cookie_encode
如图:
如果你不知道具体如何操作,或者是在打补丁的时候遇到了问题,不能解决,可以联系丁老师协助解决。
宝塔系统相关问题解决方法
有同学提问,使用PHP在处理textarea提交的内容时,里边内容是换行了的,怎么把这些内容给解析为ul li格式呢?如:<ul<li aaa</li<li bbb </li</ul 其实很简单,使用...
最近有很多客户咨询,想要开发鸿蒙APP应用,但是开发一个鸿蒙APP要多少钱呢?和普通的安卓APP相比,价格是贵还是便宜呢?今天丁老师来介绍一下。鸿蒙应用,特别是采用原生鸿蒙技术栈,比如ArkTS/ArkUI进行开发,费用成本大概与普通安...
在使用uniapp编写代码时,uniapp的编辑器有一个自动提示功能,就是当你输入字符的时候,会自动弹出对应可能会输入的代码,查了下这个功能叫做“代码助手”。在使用代码助手时,经常会产生很麻烦的问题,比如在写CSS代码时,当需要输入数字...
在开发微信小程序的过程中,生成的是带有logo的小程序二维码,并且这个二维码不是通用的二维码,而是只能用微信打开的专属二维码,如图:遇到这样一个需求,生成的二维码要方形的通用二维码,并且不能带有小程序的logo。这种该怎么实现呢?经过查询,...
fastadmin里自定义按钮的btn-dialog,弹出窗口时默认大小,设置了data-area无效,经过研究后,发现了可用的方法,直接上代码不废话:table.on('post-body.bs.table',functi...
现在微信支付已经超越支付宝,成为中国最广泛的在线支付方式。作为互联网电子商务服务商,如何开通对接微信支付?如何使用微信支付呢?丁老师整理一篇微信支付常见的问题解答。一、如何开通微信支付?微信支付可以在微信支付官网(https://pay.w...
开发抖音小程序是一个涉及多个步骤的过程,需要准备相应的资料和工具。以下是开发抖音小程序需要准备的资料和步骤:1. 入驻抖音开发平台:首先,你需要在抖音开放平台注册一个开发者账号,并完成主体认证和对公认证。如果未完成认证,你可以在沙盒工具中创...
