位置: IT常识 - 正文

PHPCMS漏洞之前台注入导致任意文件读取(web cms漏洞)

编辑:rootadmin
PHP中文网中有大量免费的PHPCMS教程,欢迎大家来学习。本篇给大家介绍了关于PHPCMS前台注入导致任意文件读取漏洞的修复问题,以便大家解决漏洞问题。

推荐整理分享PHPCMS漏洞之前台注入导致任意文件读取(web cms漏洞),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:semcms漏洞,php网站漏洞,php网站漏洞,phpweb漏洞,web cms漏洞,web cms漏洞,web cms漏洞,php168cms漏洞,内容如对您有帮助,希望把文章链接给更多的朋友!

关于phpcms前台注入导致任意文件读取漏洞的修复问题

简介:phpcms的/phpcms/modules/content/down.php 文件中,对输入参数 $_GET['a_k'] 未进行严格过滤,导致SQL注入的发生,黑客可利用该漏洞读取任意文件。…阿里云服务器提示漏洞问题。

解决办法:

1、根据简介中的漏洞提示,找到对应文件down.php的对应位置(第18、89行 附近),添加或替换相应的代码。

补丁代码片段如下:

$a_k = safe_replace($a_k);parse_str($a_k);

修改后的补丁代码片段截图如下:

第一处修改,第18行附近:

PHPCMS漏洞之前台注入导致任意文件读取(web cms漏洞)

第二处修改,第89行附近:

注意:第一处和第二处的补丁代码内容一样。

第三处修改,第120行附近:

补丁代码片段如下:

$fileurl = str_replace(array('<','>'), '',$fileurl);file_down($fileurl, $filename);

注意:经过实际测试,上述两行代码之间尽量不要有其他代码,以免被阿里云检测结果为修复无效。

修改后的补丁代码片段截图如下:

2、然后,将修改好的文件,上传到服务器对应文件位置,直接覆盖;

3、最后,登录阿里云后台,点击验证(截图如下),即可完成漏洞修复。

PHP中文网,大量的免费PHPCMS教程,欢迎在线学习!

本文链接地址:https://www.jiuchutong.com/zhishi/310156.html 转载请保留说明!

上一篇:PHPCMS 与 MVC 的区别?(phpcms模块)

下一篇:Python测试前置操作的方法(前置测试模型)

  • 计提增值税会计科目是什么
  • 附加税申报免抵税额什么意思
  • 退回的所得税与增值税的财务处理?
  • 小规模纳税人所得税优惠政策2023
  • 超市的库存商品分类混乱怎么看出来的
  • 小规模纳税人做账要做增值税吗
  • 企业所得税的成本是含税还是不含税
  • 财务报表申报有税额吗
  • 城市基础设施配套有哪些
  • 退税发票误勾选确认
  • 失业保险费返还属于政府补助吗
  • 本月完工入库会计分录
  • 应收账款换入固定资产双方账务处理
  • 软件 企业
  • 股东拿不到钱
  • 自然人纳税系统
  • 中药饮片适用增值税税率
  • 教育费附加计算公式
  • 银行异地汇款抽奖需要扣缴个人所得税吗?
  • 单位为员工缴纳社保分录
  • 租房时,怎么替房东缴税?
  • 不抵扣的发票怎么导入做账系统
  • 与军队发生业务应该取得哪种发票?
  • windows10如何更改时间
  • 文档自动填写怎么弄
  • 存货跌价准备是谁的备抵账户
  • 应收应付款有零头怎么处理
  • 小规模纳税人申报
  • windows修复网络
  • thinkphp 数据库查询
  • 应交税金的会计科目
  • 固定资产减值损失属于什么科目
  • 什么公司可以开专票
  • 承包租赁
  • 目标检测如何入门
  • python删除nan
  • 有效的管理你的时间的重要性英文作文
  • 其他应收款其他应付款的风险
  • 三代手续费的税率
  • 其他应付款的账户结构
  • 织梦如何采集文章
  • 资产超过5000万的家庭有多少
  • 甲供工程范围
  • 普通发票和增值税普通发票一样吗
  • 不动产进项税额分期抵扣暂行办法还有效吗
  • 母子公司之间的借款
  • 已认证抵扣的进项税额怎么填报表
  • 个人所得税计算方法2023计算器
  • 收到投资款现金流量放到哪里
  • 主营业务利润率反映了企业的什么能力
  • 怎么看发票的凭证号
  • 什么是发票抬头怎么填
  • 最新商业会计科目做账
  • 敬老院的会计科目
  • 获得sql数据库信息的方法
  • xp系统不能搜索
  • windows server 2008.
  • 一切为了任务
  • centos coreos
  • Windows Update XP SP3官方下载地址
  • win10家庭版教程
  • linux系统的内存分配和回收采用什么算法?
  • linux字符串命令
  • win8.1怎么设置
  • 3dmax创建图形怎么用
  • [置顶]游戏名:chivalry2
  • Linux中scp命令获取远程文件的方法
  • html中iframe怎么用
  • 杀掉进程windows
  • js快速生成数组
  • 蛋疼的生活歌曲
  • Unity3D的iTween
  • 基于javascript的毕业设计
  • 事件委托jq
  • 运满满订单取消技术服务费退还吗
  • 重庆国家税务局发票查询
  • 北京病退流程
  • 增值税发票勾选是什么意思
  • 小船载重多少
  • 煤炭限产是利好还是利空
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设