时间:2022-05-25 23:15:01 | 来源:网络营销
时间:2022-05-25 23:15:01 来源:网络营销
最近,公司做的新网站都是用dedecms系统搭建的,虽说dedecms(织梦)系统是很好用,但织梦程序的最头疼的就是安全问题了,今天,公司的网站就收到阿里云后台的信息提示网站存在一些漏洞需要及时处理。漏洞提示:dedecms cookies泄漏导致SQL漏洞;漏洞描述是:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。如下图所示:echo "<input type=/"hidden/" name=/"dede_fieldshash/" value=/"".md5($dede_addonfields.$cfg_cookie_encode)."/" />";修改为:
echo "<input type=/"hidden/" name=/"dede_fieldshash/" value=/"".md5($dede_addonfields.'anythingelse'.$cfg_cookie_encode)."/" />";注意,此段代码也就是多加了一句 'anythingelse' 的代码 ,其他没什么变动,红色标示的即是修改的部分:
echo "<input type=/"hidden/" name=/"dede_fieldshash/" value=/"".md5($dede_addonfields.'anythingelse'.$cfg_cookie_encode)."/" />";说明:自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示。
关键词:修复,方法,漏洞
在线咨询
