Verschiedene Patches für PHPCMS-Injection-Schwachstellen
1. Wide-Byte-Injection-Schwachstelle
/phpcms/modules/pay/respond.php bei etwa 16 Zeile
Originalcode
$payment = $this->get_by_code($_GET['code']);
wird ersetzt durch
$payment = $this->get_by_code(mysql_real_escape_string($_GET['code']));
2. phpcms-Injection-Schwachstelle
/phpcms/modules/poster/poster .php befindet sich ungefähr in Zeile 221 von
if ($_GET['group']) {und fügen Sie dann
$_GET['group'] = preg_replace('#`#', '', $_GET['group']);
3 hinzu. Patch für die Schwachstelle beim Lesen willkürlicher Dateien, die durch die PHPCMS-Frontend-Injection verursacht wird
/phpcms/ module/content/down.php
(1) Ersetzen Sie Zeile 17
parse_str($a_k);
durch
$a_k = safe_replace($a_k); parse_str($a_k);
(2) Zeile 89
parse_str($a_k);
Ersetzen Sie durch
$a_k = safe_replace($a_k); parse_str($a_k);
(3) Fügen Sie
$filename = date('Ymd_his').random(3).'.'.$ext;
nach Zeile 120 von
$fileurl = str_replace(array('<','>'), '',$fileurl);
hinzu. 4. phpcms-Injection-Schwachstelle
/phpcms/ module/member/index.php befindet sich in Zeile 615 Originalcode:$password = isset($_POST['password']) && trim($_POST['password']) ? trim($_POST['password']) : showmessage(L('password_empty'),HTTP_REFERER);Ersetzt durch:
$password = isset($_POST['password']) && trim($_POST['password']) ? addslashes(urldecode(trim($_POST['password'] ))) : showmessage(L('password_empty'), HTTP_REFERER);
5. PHPCMS V9.6.2 SQL-Injection-Schwachstelle
(1) phpcms/libs/classes/param.class.php befindet sich ungefähr in Zeile 109 Der ursprüngliche Code$value = isset($_COOKIE[$var]) ? sys_auth($_COOKIE[$var], 'DECODE') : $default;wird durch <🎜 ersetzt >
$value = isset($_COOKIE[$var])?addslashes(sys_auth($_COOKIE[$var],'DECODE')):$default;
(2)/phpsso_server/phpcms/libs/classes/param.class.php befindet sich in etwa 108 Zeilen
Der ursprüngliche Code
return isset($_COOKIE[$var]) ? sys_auth($_COOKIE[$var], 'DECODE') : $default;
wird durch
ersetztreturn isset($_COOKIE[$var]) ? addslashes(sys_auth($_COOKIE[$var],'DECODE')) : $default;6. Ein logisches Problem irgendwo in phpcms führte dazu, dass sich getshell
/phpcms/libs/classes/attachment.class.php ungefähr in Zeile 143 nach
function download($field, $value,$watermark = '0',$ext = 'gif|jpg|jpeg|bmp|png', $absurl = '', $basehref = ''){ befand und fügen Sie
$extArray=explode('|',$ext);
if(!empty($extArray) && is_array($extArray)){
foreach($extArray as $k => $v){
if(!in_array(strtolower($v), array('gif','jpg','jpeg','bmp','png'))); exit('0');//循环判断如果
有一个不符合,直接返回 0
}
}hinzu. Fügen Sie auf diese Weise ein Urteil hinzu. Wenn die zulässigen Dateiformate „gif“, „jpg“, „jpeg“, „bmp“, „png“ sind, fahren Sie fort, andernfalls Natürlich können die Formate hier beliebig erweitert werden.
7. phpcms-Injection-Schwachstelle/api/phpsso.php befindet sich in etwa 128 Zeilen
Ersetzen Sie den ursprünglichen Code
$arr['uid'] = intval($arr['uid']); $phpssouid = $arr['uid'];
mit , Two-in-One-Code
$phpssouid = intval($arr['uid']);8. Probleme mit dem phpcms-Authentifizierungsschlüssel-Generierungsalgorithmus führen zu Authkey-Lecks
Generieren Sie den Schlüsselwert gemäß der folgenden Funktion neu , und dann Caches/Konfigurationen finden Ersetzen Sie einfach die beiden Parameter in /system.php und es wird gut sein
<?php
function random($length, $chars = '0123456789') {
$hash = '';
$max = strlen($chars) - 1;
for($i = 0; $i < $length; $i++) {
$hash .= $chars[mt_rand(0, $max)];
}
return $hash;
}
echo random(20, 'authkey').'<br/>';
echo random(32, 'phpssoauthkey');exit;
?>PHP Chinesische Website, eine große Anzahl kostenloser
PHPCMS-Tutorials, willkommen zum Lernen online!
Das obige ist der detaillierte Inhalt vonVerschiedene Patches für PHPCMS-Injection-Schwachstellen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Heiße KI -Werkzeuge
Undress AI Tool
Ausziehbilder kostenlos
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!
Heißer Artikel
Heiße Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Pufferüberlauf-Schwachstelle in Java und ihr Schaden
Aug 09, 2023 pm 05:57 PM
Pufferüberlauf-Schwachstellen in Java und ihre Gefahren Pufferüberlauf bedeutet, dass es zu einem Datenüberlauf in andere Speicherbereiche kommt, wenn wir mehr Daten in einen Puffer schreiben, als er aufnehmen kann. Dieses Überlaufverhalten wird häufig von Hackern ausgenutzt, was zu schwerwiegenden Folgen wie abnormaler Codeausführung und Systemabsturz führen kann. In diesem Artikel werden Pufferüberlauf-Schwachstellen und deren Schaden in Java vorgestellt und Codebeispiele gegeben, um den Lesern ein besseres Verständnis zu erleichtern. Zu den in Java weit verbreiteten Pufferklassen gehören ByteBuffer, CharBuffer und ShortB
Fehler 87 verhindert die Installation des Patches kb4474419
Jan 03, 2024 pm 03:28 PM
Bei einem Problem mit dem Patch kb4474419 können keine automatischen Updates durchgeführt werden. Im Allgemeinen wird das Problem durch erneutes Herunterladen und Installieren des Patches behoben. Viele Freunde haben jedoch berichtet, dass bei ihnen Installationsfehler aufgetreten sind. Schauen wir uns die Lösung an. kb4474419-Patch-Installationsfehler 87: 1. Klicken Sie zunächst auf das Portal, um den neuesten kb4474419-Patch herunterzuladen. 2. Entpacken Sie die heruntergeladenen komprimierten Paketressourcen. 3. Sie können die Eingabeaufforderung mit der Tastenkombination „win+R“ öffnen und dann „cmd“ eingeben. Sie können auch „Eingabeaufforderung“ in die Systemsuche eingeben und als Administrator ausführen. 4. Geben Sie zunächst C:\Windows\System32 ein und geben Sie ein
So springen Sie zur Detailseite in phpcms
Jul 27, 2023 pm 05:23 PM
So springen Sie zur Detailseite in phpcms: 1. Verwenden Sie die Header-Funktion, um einen Sprunglink zu generieren. 2. Durchlaufen Sie die Inhaltsliste. 3. Rufen Sie den Titel und den Detailseitenlink des Inhalts ab.
Jailbreaken Sie jedes große Modell in 20 Schritten! Weitere „Oma-Lücken' werden automatisch entdeckt
Nov 05, 2023 pm 08:13 PM
In weniger als einer Minute und nicht mehr als 20 Schritten können Sie Sicherheitsbeschränkungen umgehen und ein großes Modell erfolgreich jailbreaken! Und es ist nicht erforderlich, die internen Details des Modells zu kennen – es müssen lediglich zwei Black-Box-Modelle interagieren, und die KI kann die KI vollautomatisch angreifen und gefährliche Inhalte aussprechen. Ich habe gehört, dass die einst beliebte „Oma-Lücke“ behoben wurde: Welche Reaktionsstrategie sollte künstliche Intelligenz angesichts der „Detektiv-Lücke“, der „Abenteurer-Lücke“ und der „Schriftsteller-Lücke“ verfolgen? Nach einer Angriffswelle konnte GPT-4 es nicht ertragen und sagte direkt, dass es das Wasserversorgungssystem vergiften würde, solange ... dies oder das. Der Schlüssel liegt darin, dass es sich lediglich um eine kleine Welle von Schwachstellen handelt, die vom Forschungsteam der University of Pennsylvania aufgedeckt wurden. Mithilfe ihres neu entwickelten Algorithmus kann die KI automatisch verschiedene Angriffsaufforderungen generieren. Forscher sagen, dass diese Methode besser ist als die bisherige
So deinstallieren Sie Win10-Patches
Dec 25, 2023 pm 08:49 PM
Nachdem das System gepatcht wurde, bleiben diese Patches auf dem Computer und belegen mit der Zeit viel Speicher. Daher möchten viele Benutzer wissen, wie man Win10-Patches deinstalliert. So deinstallieren Sie den Win10-Patch: 1. Klicken Sie zuerst auf die untere linke Ecke, um zu starten, suchen Sie dann nach „Windows-System“ und öffnen Sie die „Systemsteuerung“. 2. Klicken Sie dann unten auf „Programm deinstallieren“. 3. Klicken Sie dann links auf „Installierte Updates anzeigen“. 4. Jetzt können Sie alle Patches sehen, klicken Sie mit der rechten Maustaste und klicken Sie auf „Deinstallieren“.
Schwachstellen und Schutzmaßnahmen des Komma-Operators in Java
Aug 10, 2023 pm 02:21 PM
Übersicht über Schwachstellen und Abwehrmaßnahmen bei Komma-Operatoren in Java: In der Java-Programmierung verwenden wir häufig den Komma-Operator, um mehrere Operationen gleichzeitig auszuführen. Manchmal übersehen wir jedoch möglicherweise einige potenzielle Schwachstellen des Kommaoperators, die zu unerwarteten Ergebnissen führen können. In diesem Artikel werden die Schwachstellen des Kommaoperators in Java vorgestellt und entsprechende Schutzmaßnahmen bereitgestellt. Verwendung des Kommaoperators: Die Syntax des Kommaoperators in Java lautet expr1, expr2, was als Sequenzoperator bezeichnet werden kann. Seine Funktion besteht darin, zunächst ex zu berechnen
Welches Framework ist phpcms?
Apr 20, 2024 pm 10:51 PM
PHP CMS ist ein PHP-basiertes Open-Source-Content-Management-System zur Verwaltung von Website-Inhalten. Zu seinen Merkmalen gehören Benutzerfreundlichkeit, leistungsstarke Funktionalität, Skalierbarkeit, hohe Sicherheit und kostenloses Open Source. Es kann Zeit sparen, die Website-Qualität verbessern, die Zusammenarbeit verbessern und Entwicklungskosten senken und wird häufig auf verschiedenen Websites wie Nachrichten-Websites, Blogs, Unternehmenswebsites, E-Commerce-Websites und Community-Foren verwendet.
Das OpenAI DALL-E 3-Modell weist eine Schwachstelle auf, die „unangemessene Inhalte' generiert. Ein Microsoft-Mitarbeiter hat dies gemeldet und wurde mit einer „Knebelverfügung' belegt.
Feb 04, 2024 pm 02:40 PM
Laut Nachrichten vom 2. Februar hat Shane Jones, Manager der Software-Engineering-Abteilung von Microsoft, kürzlich eine Schwachstelle im DALL-E3-Modell von OpenAI entdeckt, die angeblich in der Lage sein soll, eine Reihe unangemessener Inhalte zu generieren. Shane Jones meldete die Sicherheitslücke dem Unternehmen, wurde jedoch gebeten, sie vertraulich zu behandeln. Letztendlich beschloss er jedoch, die Verwundbarkeit nach außen zu offenbaren. ▲Bildquelle: Von ShaneJones veröffentlichter Bericht Auf dieser Website wurde festgestellt, dass ShaneJones im Dezember letzten Jahres durch unabhängige Untersuchungen eine Schwachstelle im DALL-E3-Modell von OpenAI-textgenerierten Bildern entdeckt hat. Diese Sicherheitslücke kann die AI Guardrail (AIGuardrail) umgehen, was zur Generierung einer Reihe unangemessener NSFW-Inhalte führt. Diese Entdeckung erregte große Aufmerksamkeit
