欢迎来到旭说seo! 网站地图收藏本站RSS订阅
交流合作热线
旭说seo联系方式

您现在的位置是:主页 > 网站建设 > 代码漏洞修复 > 代码漏洞修复

阿里云盾提示织梦Dedecms SESSION变量覆盖导致SQL注入

旭说seo 2019-09-03 代码漏洞修复 人已围观

简介 通过Dedecms系统做的网站出现了不少漏洞,于是准备做下漏洞修复,其中就有dedecms SESSION变量覆盖导致SQL注入的危险提示,那么,怎么解决呢?

  刚转职跳槽到一家新公司,对服务器进行检查维护时发现,一些通过Dedecms系统做的网站出现了不少漏洞,于是准备做下漏洞修复,其中就有dedecms SESSION变量覆盖导致SQL注入的危险提示,那么,怎么解决呢?这里就让旭说seo给你分析并提供一些l漏洞修复方案。

漏洞修复

  公司网站主要是放在阿里云的服务器空间,阿里云盾提示:dedecms SESSION变量覆盖导致SQL注入。

  情况如下所示:

  补丁编号:10286982

  补丁文件:/e:/wwwroot/www.****.com/include/common.inc.php

  补丁来源:云盾自研

  更新时间:2019-05-04 10:06:48

dedecms SESSION变量覆盖导致SQL注入

  漏洞描述:dedecms的/plus/advancedsearch.php中,直接从$_SESSION[$sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入。

【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

  漏镀修复方案:

  1、用编辑器打开/include/common.inc.php这个文件,

  2、搜索如下代码:

  (cfg_|GLOBALS|_GET|_POST|_COOKIE)

  3、替换为如下代码(有两处需要替换):

  (cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)

  修改前请备份好文件,将修改后的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题。

关键词:漏洞修复(5)

  • * 姓名:

  • * 手机:

  • * 留言内容:

  • * 验证码: