Heim > CMS-Tutorial > PHPCMS > Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien

Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien

爱喝马黛茶的安东尼
Freigeben: 2019-11-21 10:06:42
nach vorne
4314 Leute haben es durchsucht

Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien

Über die Behebung der Sicherheitslücke beim Lesen willkürlicher Dateien, die durch die PHPCMS-Frontend-Injection verursacht wird

简介:
phpcms的/phpcms/modules/content/down.php 文件中,对输入参数 $_GET['a_k'] 未进行严格过滤,导致SQL注入的发生,黑客
可利用该漏洞读取任意文件。
…
阿里云服务器提示漏洞问题。
Nach dem Login kopieren

Lösung:

1. Suchen Sie gemäß der Aufforderung zur Sicherheitslücke in der Einleitung den entsprechenden Speicherort der entsprechenden Datei down.php (in der Nähe der Zeilen 18 und 89) und fügen Sie den entsprechenden Code hinzu oder ersetzen Sie ihn.

Der Patchcode-Snippet lautet wie folgt:

$a_k = safe_replace($a_k);
parse_str($a_k);
Nach dem Login kopieren

Der geänderte Patchcode-Snippet lautet wie folgt:

Die erste Änderung, in der Nähe von Zeile 18:

Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien

Die zweite Änderung, in der Nähe von Zeile 89:

Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien

Hinweis: Der Inhalt des ersten und zweiten Patchcodes ist derselbe.

Die dritte Änderung, nahe Zeile 120:

Der Patchcode-Snippet lautet wie folgt:

$fileurl = str_replace(array(&#39;<&#39;,&#39;>&#39;), &#39;&#39;,$fileurl); 
file_down($fileurl, $filename);
Nach dem Login kopieren

Hinweis: Nach tatsächlichen Tests so viel wie möglich zwischen den Über den beiden Codezeilen sollte kein anderer Code vorhanden sein, um zu verhindern, dass er von Alibaba Cloud erkannt wird, und das Reparaturergebnis ist ungültig.

Der Screenshot des geänderten Patchcode-Snippets lautet wie folgt:

Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien

2. Laden Sie dann die geänderte Datei an den entsprechenden Dateispeicherort auf dem Server hoch überschreiben Sie es direkt;

3. Melden Sie sich abschließend beim Alibaba Cloud-Backend an und klicken Sie auf „Überprüfen“ (Screenshot unten), um die Schwachstellenreparatur abzuschließen.

Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien

Oben geht es um die Behebung der Schwachstelle „phpcms-Frontend-Injection führt zu einer Sicherheitslücke beim Lesen beliebiger Dateien“.

PHP-Website für Chinesisch, eine große Anzahl kostenloser PHPCMS-Tutorials, willkommen zum Online-Lernen!

Das obige ist der detaillierte Inhalt vonDie Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:csdn.net
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage