对于phpcms前台注入招致恣意文件读取破绽的修复成绩
简介: phpcms的/phpcms/modules/content/down.php 文件中,对输出参数 $_GET['a_k'] 未进行严格过滤,招致SQL注入的发作,黑客 可行使该破绽读取恣意文件。 … 阿里云效劳器提醒破绽成绩。
处理方法:
一、依据简介中的破绽提醒,找到对应文件down.php的对应地位(第1八、89行 左近),增加或交换相应的代码。
补钉代码片断以下:
$a_k = safe_replace($a_k); parse_str($a_k);
修正后的补钉代码片断截图以下:
第一处修正,第18行左近:
第二处修正,第89行左近:
留意:第一处以及第二处的补钉代码内容同样。
第三处修正,第120行左近:
补钉代码片断以下:
$fileurl = str_replace(array('<','>'), '',$fileurl); file_down($fileurl, $filename);
留意:通过实际测试,上述两行代码之间只管即便没有要有其余代码,以避免被阿里云检测后果为修复有效。
修正后的补钉代码片断截图以下:
二、而后,将修正好的文件,上传到效劳器对应文件地位,间接笼罩;
三、最初,登录阿里云后盾,点击验证(截图以下),便可实现破绽修复。
以上就是对于“phpcms前台注入招致恣意文件读取破绽”破绽修复的全副内容。
PHP中文网,年夜量的收费PHPCMS教程,欢送正在线学习!
以上就是PHPCMS破绽以前台注入招致恣意文件读取的具体内容,更多请存眷资源魔其它相干文章!
标签: phpcms phpcms教程 phpcms技巧 php问题解决 漏洞 前台注入 文件读取
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
抱歉,评论功能暂时关闭!