欢迎来到素材无忧网,按 + 收藏我们
登录 注册 退出 找回密码
素材无忧对所有站长和会员的道歉信 素材无忧发展辛酸史 会员权限丢失怎么办? 素材无忧正式更换为:素材无忧网 素材无忧也正式更换新域名:www.sucai51.cn
  主页 > cms教程 > 织梦学院 > 故障问题

dedecms模版soft_add.phpSQL注入漏洞修复方法

时间: 2018-12-09 20:40 阅读: 作者:素材无忧网

dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。

打开文件/member/soft_add.php,搜索(大概在154行):




	
		

			
				
$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";

					
		

	






	替换为:







	
		

			
				
if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) {
$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
}

					
		

	



						

						
						

						

						

							

								
									版权声明:
								
								本站资源均来自互联网或会员发布,如果侵犯了您的权益请与我们联系,我们将在24小时内删除!谢谢!
							

							

								转载请注明:
								
									dedecms模版soft_add.phpSQL注入漏洞修复方法								
							

						

						

							

																
									上一篇:/include/uploadsafe.inc.php dedecms注入漏洞修复方法								
															

							

																
									下一篇:dedecms common.inc.php SESSION变量覆盖导致SQL注入								
															

						

						
						

							
							
							标签:   
                            
                        
						

					

					

						

							
								相关文章
							
						

						
					

				

				
 
      
      
      

        
推荐文章

        
        
        
      

      
    
    
      
    
      

        
排行榜

        
      

      
      
      
       

        
模板推荐

        
      

      
     
     
     
     
      

        
热门标签

        
      

      
      
    



			

		

       
		

	

		

			

				
				

					

						本站转载作品版权归原作者及来源网站所有,原创内容作品版权归作者所有,任何内容转载、商业用途等均须联系原作者并注明来源。相关侵权、举报、投诉及建议等,请发E-mail:379144319@qq.com
					

					

						Copyright © 2002-2011 滕州素材无忧网络科技有限公司 版权所有nbsp; 鲁ICP备16003892号-6鲁公网安备37048102006483号