会员登录 | 注册

来去留技术信息资源

来去留技术信息资源
来去留网 > 去看信息 > 程序系统 > 织梦DedeCMS变量覆盖高危漏洞修复办法

织梦DedeCMS变量覆盖高危漏洞修复办法

2011-12-30 16:46来源:发布者: 查看:

漏洞成因:由于include/common.inc.php文件中对$_POST、$_GET、$_COOKIE数组传递过来的值没有严格的过滤,导致可以直接传递过来一些想要的值,比如可以传递 $_GET[_POST] = (。。。),在common.inc.php中处理$_GET时,就会创建新数组$_POST = (。。。),利用该漏洞可以执行php代码、并获取webshell。

修复办法:在include/common.inc.php 文件中查找下面的代码

 foreach($_REQUEST as $_k=>$_v)
{
if( strlen($_k)>0 && preg_match('/^(cfg_|GLOBALS)/',$_k) )
{
exit('Request var not allow!');
}
}

找到后把上面的代码片段 替换成 下面的代码片段

(责任编辑:laiquliu)

关注技术,信息,资源,扫描来去留网微信二维码交流。

来去留我李俊

搜索

------分隔线----------------------------
相关栏目

热点推荐
来去留技术信息资源
来去留网为您提供平台咨询交流学习方法及各类热门技术;电器,服装,保健,行业快讯等二十几个类别的资讯