CMS-Tutorial
PHPCMS
Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien
Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien
Über die Behebung der Sicherheitslücke beim Lesen willkürlicher Dateien, die durch die PHPCMS-Frontend-Injection verursacht wird
简介: phpcms的/phpcms/modules/content/down.php 文件中,对输入参数 $_GET['a_k'] 未进行严格过滤,导致SQL注入的发生,黑客 可利用该漏洞读取任意文件。 … 阿里云服务器提示漏洞问题。
Lösung:
1. Suchen Sie gemäß der Aufforderung zur Sicherheitslücke in der Einleitung den entsprechenden Speicherort der entsprechenden Datei down.php (in der Nähe der Zeilen 18 und 89) und fügen Sie den entsprechenden Code hinzu oder ersetzen Sie ihn.
Der Patchcode-Snippet lautet wie folgt:
$a_k = safe_replace($a_k); parse_str($a_k);
Der geänderte Patchcode-Snippet lautet wie folgt:
Die erste Änderung, in der Nähe von Zeile 18:
Die zweite Änderung, in der Nähe von Zeile 89:
Hinweis: Der Inhalt des ersten und zweiten Patchcodes ist derselbe.
Die dritte Änderung, nahe Zeile 120:
Der Patchcode-Snippet lautet wie folgt:
$fileurl = str_replace(array('<','>'), '',$fileurl); file_down($fileurl, $filename);
Hinweis: Nach tatsächlichen Tests so viel wie möglich zwischen den Über den beiden Codezeilen sollte kein anderer Code vorhanden sein, um zu verhindern, dass er von Alibaba Cloud erkannt wird, und das Reparaturergebnis ist ungültig.
Der Screenshot des geänderten Patchcode-Snippets lautet wie folgt:
2. Laden Sie dann die geänderte Datei an den entsprechenden Dateispeicherort auf dem Server hoch überschreiben Sie es direkt;
3. Melden Sie sich abschließend beim Alibaba Cloud-Backend an und klicken Sie auf „Überprüfen“ (Screenshot unten), um die Schwachstellenreparatur abzuschließen.
Oben geht es um die Behebung der Schwachstelle „phpcms-Frontend-Injection führt zu einer Sicherheitslücke beim Lesen beliebiger Dateien“.
PHP-Website für Chinesisch, eine große Anzahl kostenloser PHPCMS-Tutorials, willkommen zum Online-Lernen!
Das obige ist der detaillierte Inhalt vonDie Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
AI Hentai Generator
Erstellen Sie kostenlos Ai Hentai.
Heißer Artikel
Heiße Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Heiße Themen
1376
52
Jailbreaken Sie jedes große Modell in 20 Schritten! Weitere „Oma-Lücken' werden automatisch entdeckt
Nov 05, 2023 pm 08:13 PM
In weniger als einer Minute und nicht mehr als 20 Schritten können Sie Sicherheitsbeschränkungen umgehen und ein großes Modell erfolgreich jailbreaken! Und es ist nicht erforderlich, die internen Details des Modells zu kennen – es müssen lediglich zwei Black-Box-Modelle interagieren, und die KI kann die KI vollautomatisch angreifen und gefährliche Inhalte aussprechen. Ich habe gehört, dass die einst beliebte „Oma-Lücke“ behoben wurde: Welche Reaktionsstrategie sollte künstliche Intelligenz angesichts der „Detektiv-Lücke“, der „Abenteurer-Lücke“ und der „Schriftsteller-Lücke“ verfolgen? Nach einer Angriffswelle konnte GPT-4 es nicht ertragen und sagte direkt, dass es das Wasserversorgungssystem vergiften würde, solange ... dies oder das. Der Schlüssel liegt darin, dass es sich lediglich um eine kleine Welle von Schwachstellen handelt, die vom Forschungsteam der University of Pennsylvania aufgedeckt wurden. Mithilfe ihres neu entwickelten Algorithmus kann die KI automatisch verschiedene Angriffsaufforderungen generieren. Forscher sagen, dass diese Methode besser ist als die bisherige
Pufferüberlauf-Schwachstelle in Java und ihr Schaden
Aug 09, 2023 pm 05:57 PM
Pufferüberlauf-Schwachstellen in Java und ihre Gefahren Pufferüberlauf bedeutet, dass es zu einem Datenüberlauf in andere Speicherbereiche kommt, wenn wir mehr Daten in einen Puffer schreiben, als er aufnehmen kann. Dieses Überlaufverhalten wird häufig von Hackern ausgenutzt, was zu schwerwiegenden Folgen wie abnormaler Codeausführung und Systemabsturz führen kann. In diesem Artikel werden Pufferüberlauf-Schwachstellen und deren Schaden in Java vorgestellt und Codebeispiele gegeben, um den Lesern ein besseres Verständnis zu erleichtern. Zu den in Java weit verbreiteten Pufferklassen gehören ByteBuffer, CharBuffer und ShortB
Tipps zur PHP-Dateiverarbeitung: Dateien effizient lesen und schreiben
Sep 06, 2023 am 11:36 AM
PHP-Dateiverarbeitungsfähigkeiten: Dateien effizient lesen und schreiben Während des Webentwicklungsprozesses müssen wir häufig Dateien lesen und schreiben, z. B. Konfigurationsdateien, Protokolldateien, hochgeladene Dateien usw. Dateivorgänge können jedoch die Systemleistung und -effizienz beeinträchtigen. Daher müssen wir einige Fähigkeiten zur effizienten Dateiverarbeitung beherrschen, um die Systemleistung und die Benutzererfahrung zu verbessern. In diesem Artikel werden einige Dateiverarbeitungstechniken in PHP sowie Optimierungsmethoden zum Lesen und Schreiben von Dateien vorgestellt und entsprechende Codebeispiele bereitgestellt. Effizientes Lesen von Dateien 1.1 mit fil
Wie lese ich .py-Dateien in Python richtig?
Apr 03, 2024 pm 04:21 PM
In Python gibt es drei Möglichkeiten, .py-Dateien zu lesen. Die erste Methode besteht darin, die integrierte Funktion open() zu verwenden, z. B. withopen('example.py','r')asf:content=f.read(). Die zweite Methode besteht darin, die Importanweisung zu verwenden, z. B. importexample. Die dritte Methode besteht darin, die Funktion exec() zu verwenden, z. B. withopen('example.py','r')asf:code=f.read()exec(code).
Lesevorgänge für Golang-Dateien: Tipps zum schnellen Lesen großer Dateien
Jan 19, 2024 am 08:33 AM
Lesevorgang für Golang-Dateien: Tipps zum schnellen Lesen großer Dateien. Es sind spezifische Codebeispiele erforderlich. In der Golang-Programmierung ist das Lesen von Dateien ein sehr häufiger Vorgang. Wenn jedoch große Dateien gelesen werden müssen, ist dies normalerweise ein zeit- und ressourcenintensiver Vorgang. Daher ist das schnelle Lesen großer Dateien ein diskussionswürdiges Thema. In diesem Artikel wird erläutert, wie Sie die Funktionen von Golang und einige Techniken zum schnellen Lesen großer Dateien verwenden, und es werden spezifische Codebeispiele bereitgestellt. Verwenden von bufio zum Lesen von Dateien in Golang, Lesen von Dateien
Das OpenAI DALL-E 3-Modell weist eine Schwachstelle auf, die „unangemessene Inhalte' generiert. Ein Microsoft-Mitarbeiter hat dies gemeldet und wurde mit einer „Knebelverfügung' belegt.
Feb 04, 2024 pm 02:40 PM
Laut Nachrichten vom 2. Februar hat Shane Jones, Manager der Software-Engineering-Abteilung von Microsoft, kürzlich eine Schwachstelle im DALL-E3-Modell von OpenAI entdeckt, die angeblich in der Lage sein soll, eine Reihe unangemessener Inhalte zu generieren. Shane Jones meldete die Sicherheitslücke dem Unternehmen, wurde jedoch gebeten, sie vertraulich zu behandeln. Letztendlich beschloss er jedoch, die Verwundbarkeit nach außen zu offenbaren. ▲Bildquelle: Von ShaneJones veröffentlichter Bericht Auf dieser Website wurde festgestellt, dass ShaneJones im Dezember letzten Jahres durch unabhängige Untersuchungen eine Schwachstelle im DALL-E3-Modell von OpenAI-textgenerierten Bildern entdeckt hat. Diese Sicherheitslücke kann die AI Guardrail (AIGuardrail) umgehen, was zur Generierung einer Reihe unangemessener NSFW-Inhalte führt. Diese Entdeckung erregte große Aufmerksamkeit
fread()-Funktion in PHP
Sep 07, 2023 pm 11:57 PM
Die Funktion fread() liest Daten aus einer geöffneten Datei. Die Funktion fread() stoppt am Ende der Datei oder wenn sie die angegebene Länge erreicht. Gibt bei Erfolg die gelesene Zeichenfolge zurück. Gibt bei einem Fehler FALSE zurück. Syntax fread(file_pointer,length) Parameter file_pointer – Die Dateisystemzeigerressource, die mit fopen() erstellt wurde. Erforderlich. Länge: Maximale Anzahl zu lesender Bytes. Erforderlich. Rückgabewert Bei Erfolg gibt die Funktion fread() den gelesenen String zurück. Bei einem Fehler wird FALSE zurückgegeben. Angenommen, wir haben eine Datei namens „one.txt“, in der
Optimierung des Lesens von Golang-Dateien: Tipps zur Verbesserung der Programmleistung
Jan 19, 2024 am 08:59 AM
Golang ist eine Programmiersprache, die für ihre Effizienz und Geschwindigkeit bekannt ist, aber wenn es um das Lesen von Dateien geht, geraten Sie in einen Leistungsengpass, wenn Sie nicht aufpassen. In diesem Artikel wird die Optimierung des Dateilesens in Golang erläutert, Tipps zur Verbesserung der Programmleistung vorgestellt und spezifische Codebeispiele bereitgestellt. Verwenden von Puffern In Golang wird beim Lesen einer Datei jedes Mal, wenn ein Byte gelesen wird, ein Systemaufruf des Betriebssystems ausgeführt, was ein äußerst zeitaufwändiger Vorgang ist. Daher wird empfohlen, die Puffertechnologie zu verwenden, um die Effizienz beim Lesen von Dateien zu verbessern. Ein Puffer bezieht sich auf einen vorab zugewiesenen Speicher
