18143453325 在线咨询 在线咨询
18143453325 在线咨询
所在位置: 首页 > 营销资讯 > 网络营销 > dedecms v5.7 CSRF保护措施绕过漏洞

dedecms v5.7 CSRF保护措施绕过漏洞

时间:2022-05-25 23:21:01 | 来源:网络营销

时间:2022-05-25 23:21:01 来源:网络营销

今日,在检查网站及服务器安全问题的时候,发现阿里云后台一直提示有一个“dedecms v5.7 CSRF保护措施绕过漏洞”影响网站安全,需要紧急修复,如下图所示:

于是在网上查询了一番,便找到了修复方法,在此,我便借助亿企邦的平台将修复方法分享一下给大家,具体如下:

漏洞名称:dedecms v5.7 CSRF保护措施绕过漏洞

危险等级:★★★★★(高危)

漏洞文件:/dede/config.php

漏洞描述:dedecms最新版(20171228更新),增加了部分函数对CSRF漏洞的检查,然而对函数输出校验不当导致可以传入恶意数组绕过CSRF防御。

修复方法:

修改这个漏洞也是很简单,主要是文件/dede/config.php 或者 /你的后台名字/config.php的修改。

查找并打开/dede/config.php 文件,大概在67行或者搜索代码:

if(!isset($token) || strcasecmp($token, $_SESSION['token']) != 0){

修改为:

if(!isset($token) || strcasecmp($token, $_SESSION['token']) !== 0){

如下图所示:

说明:自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示。

修改之后,上传覆盖,将新的config.php文件上传替换阿里云服务器上,在阿里云后台验证通过,即可解决此漏洞提示问题!

亿企邦点评:

提醒大家一点,作为一个非资深技术人员,在修改网站文件前请先做好文件备份,以免修改错误导致无法恢复,影响网站的正常使用。

再者就是网站出现了漏洞提示,一定要记得及时的修复,以免被不法之人利用挂马,导致网站被降权,到时就追悔莫及了!

关键词:漏洞,措施,保护

74
73
25
news

版权所有© 亿企邦 1997-2022 保留一切法律许可权利。

为了最佳展示效果,本站不支持IE9及以下版本的浏览器,建议您使用谷歌Chrome浏览器。 点击下载Chrome浏览器
关闭