国产精品成人久久久久,国产小视频在线高清播放,a黄 国产理论自拍_精品国产91久久久久久久a_99热综合_国语自产拍天天在线

0712-2888027 189-8648-0214
微信公眾號

孝感風(fēng)信網(wǎng)絡(luò)科技有限公司微信公眾號

當(dāng)前位置:主頁 > 技術(shù)支持 > PHPCMS > phpcms/modules/content/down.php前臺注入導(dǎo)致任意文件讀取漏洞修復(fù)方案

phpcms/modules/content/down.php前臺注入導(dǎo)致任意文件讀取漏洞修復(fù)方案

時間:2016-09-21來源:風(fēng)信官網(wǎng) 點(diǎn)擊: 3211次
phpcms 的/phpcms/modules/content/down.php文件中,對輸入?yún)?shù)$_GET['a_k']未進(jìn)行嚴(yán)格過濾,導(dǎo)致SQL注入的發(fā) 生,黑客可利用該漏洞讀取任意文件?!咀⒁猓涸撗a(bǔ)丁為云盾自研代碼修復(fù)方案,云盾會根據(jù)您當(dāng)前代碼是否符合云盾自研的修復(fù)模式進(jìn)行檢測,如果您自行采取了 底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案,可能會導(dǎo)致您雖然已經(jīng)修復(fù)了改漏洞,云盾依然報(bào)告存在漏洞,遇到該情況可選擇忽略該漏洞提示】

解決方法:

首先找到這個文件/phpcms/modules/content/down.php

修復(fù)處有3處。

搜索如下代碼(17行):
parse_str($a_k);

 

如下圖:

phpcms前臺注入導(dǎo)致任意文件讀取漏洞

將17行直接替換為如下代碼:
$a_k = safe_replace($a_k); parse_str($a_k);

 

修改后如下圖:

phpcms前臺注入導(dǎo)致任意文件讀取漏洞

搜索如下代碼(89行):
parse_str($a_k);

 

如下圖:

phpcms前臺注入導(dǎo)致任意文件讀取漏洞

將89行直接替換為如下代碼:
$a_k = safe_replace($a_k); parse_str($a_k);

 

修改后如下圖:

phpcms前臺注入導(dǎo)致任意文件讀取漏洞

搜索如下代碼(120行):
file_down($fileurl, $filename);

 

如下圖:

phpcms前臺注入導(dǎo)致任意文件讀取漏洞

將120行直接替換為如下代碼:
$fileurl = str_replace(array('<','>'), '',$fileurl); file_down($fileurl, $filename);

 

修改后如下圖:

phpcms前臺注入導(dǎo)致任意文件讀取漏洞

修改完后保存上傳更新,然后在阿里云點(diǎn)擊修復(fù)即可。

以上就是俞視天下為各位提供的,阿里云提示:“phpcms前臺注入導(dǎo)致任意文件讀取漏洞”的解決方案!

如果您未進(jìn)行二次開發(fā)可以下載懶人包,請您下載當(dāng)前服務(wù)器中的文件下來,進(jìn)行備份后在進(jìn)行修改上傳復(fù)制操作!

熱門關(guān)鍵詞: phpcms modules content down.ph
欄目列表
推薦內(nèi)容
熱點(diǎn)內(nèi)容
展開
成武县| 凌源市| 岑巩县| 神木县| 河北区| 迁安市| 余姚市| 金秀| 绥芬河市| 德阳市| 昭通市| 嘉定区| 阜新| 孟村| 渭源县| 岱山县| 富阳市| 沙坪坝区| 红安县| 沾化县| 长岛县| 天全县| 阿拉尔市| 石城县| 奉新县| 始兴县| 汉寿县| 长宁县| 黄龙县| 南木林县| 玛沁县| 肥西县| 东乌| 咸阳市| 肥西县| 咸丰县| 雷州市| 浙江省| 长兴县| 丰宁| 武强县|