溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹了PHPCMS漏洞之前臺注入導致任意文件讀取怎么辦,具有一定借鑒價值,需要的朋友可以參考下。希望大家閱讀完這篇文章后大有收獲。下面讓小編帶著大家一起了解一下。
關于phpcms前臺注入導致任意文件讀取漏洞的修復問題
簡介: phpcms的/phpcms/modules/content/down.php 文件中,對輸入參數 $_GET['a_k'] 未進行嚴格過濾,導致SQL注入的發生,黑客 可利用該漏洞讀取任意文件。 … 阿里云服務器提示漏洞問題。
解決辦法:
1、根據簡介中的漏洞提示,找到對應文件down.php的對應位置(第18、89行 附近),添加或替換相應的代碼。
補丁代碼片段如下:
$a_k = safe_replace($a_k); parse_str($a_k);
修改后的補丁代碼片段截圖如下:
第一處修改,第18行附近:
第二處修改,第89行附近:
注意:第一處和第二處的補丁代碼內容一樣。
第三處修改,第120行附近:
補丁代碼片段如下:
$fileurl = str_replace(array('<','>'), '',$fileurl);
file_down($fileurl, $filename);注意:經過實際測試,上述兩行代碼之間盡量不要有其他代碼,以免被阿里云檢測結果為修復無效。
修改后的補丁代碼片段截圖如下:
2、然后,將修改好的文件,上傳到服務器對應文件位置,直接覆蓋;
3、最后,登錄阿里云后臺,點擊驗證(截圖如下),即可完成漏洞修復。
感謝你能夠認真閱讀完這篇文章,希望小編分享PHPCMS漏洞之前臺注入導致任意文件讀取怎么辦內容對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業資訊頻道,遇到問題就找億速云,詳細的解決方法等著你來學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
