dedecms cookies走漏导致SQL毛病 /member/article_add.php 修复
毛病名称:dedecms cookies走漏导致SQL毛病
补丁文件:/member/article_add.php
补丁泉源:云盾自研
毛病形貌:dedecms的文章揭晓表单中走漏了用于防御CSRF的焦点cookie,同时在其他焦点支付系统也使用了同样的cookie举行验证,黑客可使用走漏的cookie通事后台验证,举行后台注入。
解决要领:
找到代码:
if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))
修改成:
if ( empty($dede_fieldshash) || ( $dede_fieldshash != md5($dede_addonfields . $cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields.’anythingelse’.$cfg_cookie_encode)) )
推荐D盾—WEB检察工具:
软件使用自行研发不分扩展名的代码剖析引擎,能剖析更为隐藏的WebShell后门行为。
引擎特殊针对,一句话后门,变量函数后门,${}执行 ,`执行,
preg_replace执行,call_user_func,file_put_contents,fputs 等特殊函数
的参数举行针对性的识别,能查杀更为隐藏的后门,
并把可疑的参数信息展现在你眼前,让你能更快速的相识后门的情形
新版特殊针对 dedecms 的{dede:php}{/dede:php}代码加入了识别!
软件加入隔离功效,而且可以还原!
若有不能识此外webshell请使用上传样本功效上传给我们,我们将后期加入识别!
下载:http://www.d99net.net/down/WebShellKill_V1.4.1.zip
织梦楼 » dedecms cookies走漏导致SQL毛病 /member/article_add.php 修复