Tutoriel CMS
PHPCMS
L'injection frontale de vulnérabilité PHPCMS conduit à une lecture arbitraire de fichiers
L'injection frontale de vulnérabilité PHPCMS conduit à une lecture arbitraire de fichiers
À propos du problème de réparation de la vulnérabilité de lecture de fichiers arbitraire causée par l'injection frontale de phpcms
简介: phpcms的/phpcms/modules/content/down.php 文件中,对输入参数 $_GET['a_k'] 未进行严格过滤,导致SQL注入的发生,黑客 可利用该漏洞读取任意文件。 … 阿里云服务器提示漏洞问题。
Solution :
1. Selon l'invite de vulnérabilité dans l'introduction, recherchez l'emplacement correspondant du fichier down.php correspondant (près des lignes 18 et 89), et ajoutez ou remplacez le code correspondant.
L'extrait de code du patch est le suivant :
$a_k = safe_replace($a_k); parse_str($a_k);
L'extrait de code du patch modifié est le suivant :
La première modification, près de la ligne 18 :
La deuxième modification, près de la ligne 89 :
Remarque : le contenu du premier et du deuxième code de patch est le même.
La troisième modification, près de la ligne 120 :
L'extrait de code du patch est le suivant :
$fileurl = str_replace(array('<','>'), '',$fileurl); file_down($fileurl, $filename);
Remarque : après des tests réels, autant que possible entre le au-dessus de deux lignes de code Il ne devrait y avoir aucun autre code pour éviter d'être détecté par Alibaba Cloud et le résultat de la réparation sera invalide.
La capture d'écran de l'extrait de code du correctif modifié est la suivante :
2. Ensuite, téléchargez le fichier modifié à l'emplacement de fichier correspondant du serveur et. écrasez-le directement ;
3. Enfin, connectez-vous au backend d'Alibaba Cloud et cliquez sur Vérifier (capture d'écran ci-dessous) pour terminer la réparation de la vulnérabilité.
Ce qui précède concerne la réparation de la vulnérabilité « injection frontale phpcms conduisant à une vulnérabilité de lecture de fichier arbitraire ».
Site Web PHP chinois, un grand nombre de Tutoriels PHPCMS gratuits, bienvenue pour apprendre en ligne !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Jailbreaker n'importe quel grand modèle en 20 étapes ! Plus de « failles de grand-mère » sont découvertes automatiquement
Nov 05, 2023 pm 08:13 PM
En moins d'une minute et pas plus de 20 étapes, vous pouvez contourner les restrictions de sécurité et réussir à jailbreaker un grand modèle ! Et il n'est pas nécessaire de connaître les détails internes du modèle - seuls deux modèles de boîte noire doivent interagir, et l'IA peut attaquer de manière entièrement automatique l'IA et prononcer du contenu dangereux. J'ai entendu dire que la « Grandma Loophole », autrefois populaire, a été corrigée : désormais, face aux « Detective Loophole », « Adventurer Loophole » et « Writer Loophole », quelle stratégie de réponse l'intelligence artificielle devrait-elle adopter ? Après une vague d'assaut, GPT-4 n'a pas pu le supporter et a directement déclaré qu'il empoisonnerait le système d'approvisionnement en eau tant que... ceci ou cela. La clé est qu’il ne s’agit que d’une petite vague de vulnérabilités exposées par l’équipe de recherche de l’Université de Pennsylvanie, et grâce à leur algorithme nouvellement développé, l’IA peut générer automatiquement diverses invites d’attaque. Les chercheurs disent que cette méthode est meilleure que celle existante
Vulnérabilité de débordement de tampon en Java et ses dommages
Aug 09, 2023 pm 05:57 PM
Les vulnérabilités de débordement de tampon en Java et leurs dommages Le débordement de tampon signifie que lorsque nous écrivons plus de données dans un tampon que sa capacité, cela entraînera un débordement de données vers d'autres zones de mémoire. Ce comportement de débordement est souvent exploité par les pirates informatiques, ce qui peut entraîner de graves conséquences telles qu'une exécution anormale de code et un crash du système. Cet article présentera les vulnérabilités de débordement de tampon et leurs dommages en Java, et donnera des exemples de code pour aider les lecteurs à mieux comprendre. Les classes tampon largement utilisées en Java incluent ByteBuffer, CharBuffer et ShortB.
Conseils de traitement de fichiers PHP : lire et écrire des fichiers efficacement
Sep 06, 2023 am 11:36 AM
Compétences en traitement de fichiers PHP : lire et écrire efficacement des fichiers Au cours du processus de développement Web, nous avons souvent besoin de lire et d'écrire des fichiers, tels que des fichiers de configuration, des fichiers journaux, des fichiers téléchargés, etc. Cependant, les opérations sur les fichiers peuvent affecter les performances et l'efficacité du système. Par conséquent, nous devons maîtriser certaines compétences efficaces en matière de traitement de fichiers pour améliorer les performances du système et l’expérience utilisateur. Cet article présentera certaines techniques de traitement de fichiers en PHP, ainsi que des méthodes d'optimisation pour la lecture et l'écriture de fichiers, et fournira des exemples de code correspondants. Lire efficacement les fichiers 1.1 en utilisant fil
Comment lire correctement les fichiers .py en Python ?
Apr 03, 2024 pm 04:21 PM
En Python, il existe trois façons de lire les fichiers .py. La première méthode consiste à utiliser la fonction intégrée open(), telle que withopen('example.py','r')asf:content=f.read(). La deuxième méthode consiste à utiliser l'instruction import, telle que importexample. La troisième méthode consiste à utiliser la fonction exec(), telle que withopen('example.py','r')asf:code=f.read()exec(code).
Opérations de lecture de fichiers Golang : conseils pour lire rapidement des fichiers volumineux
Jan 19, 2024 am 08:33 AM
Opération de lecture de fichiers Golang : astuces pour lire rapidement des fichiers volumineux, des exemples de code spécifiques sont nécessaires. Dans la programmation Golang, la lecture de fichiers est une opération très courante. Mais lorsque des fichiers volumineux doivent être lus, il s’agit généralement d’une opération qui prend beaucoup de temps et de ressources. Par conséquent, comment lire rapidement des fichiers volumineux est un sujet qui mérite d’être discuté. Cet article expliquera comment utiliser les fonctionnalités de Golang et certaines techniques pour lire rapidement des fichiers volumineux, et fournira des exemples de code spécifiques. Utiliser bufio pour lire des fichiers dans Golang, lecture de fichiers
Le modèle OpenAI DALL-E 3 présente une vulnérabilité qui génère un « contenu inapproprié ». Un employé de Microsoft l'a signalé et a reçu une « ordonnance de bâillon ».
Feb 04, 2024 pm 02:40 PM
Selon l'actualité du 2 février, Shane Jones, responsable du département d'ingénierie logicielle de Microsoft, a récemment découvert une vulnérabilité dans le modèle DALL-E3 d'OpenAI, qui serait capable de générer une série de contenus inappropriés. Shane Jones a signalé la vulnérabilité à l'entreprise, mais il lui a été demandé de garder cette information confidentielle. Cependant, il a finalement décidé de révéler sa vulnérabilité au monde extérieur. ▲ Source de l'image : rapport divulgué par ShaneJones. Ce site Web a remarqué que ShaneJones avait découvert grâce à une recherche indépendante en décembre de l'année dernière qu'il existait une vulnérabilité dans le modèle DALL-E3 d'images générées par du texte OpenAI. Cette vulnérabilité peut contourner l'AI Guardrail (AIGuardrail), entraînant la génération d'une série de contenus inappropriés NSFW. Cette découverte a attiré une large attention
Comment accéder à la page de détails dans phpcms
Jul 27, 2023 pm 05:23 PM
Comment accéder à la page de détails dans phpcms : 1. Utilisez la fonction d'en-tête pour générer un lien de saut ; 2. Parcourez la liste de contenu ; 3. Obtenez le lien de la page de titre et de détails du contenu ;
fonction fread() en PHP
Sep 07, 2023 pm 11:57 PM
La fonction fread() lit les données d'un fichier ouvert. La fonction fread() s'arrête à la fin du fichier ou lorsqu'il atteint la longueur spécifiée. Renvoie la chaîne lue en cas de succès. Renvoie FALSE en cas d'échec. Syntaxe fread(file_pointer,length) Paramètre file_pointer−La ressource de pointeur du système de fichiers créée à l'aide de fopen(). Requis. length - Nombre maximum d'octets à lire. Requis. Valeur de retour En cas de succès, la fonction fread() renvoie la chaîne lue. En cas d'échec, renvoie FALSE. Supposons que nous ayons un fichier appelé "one.txt" où
