ホームページ > CMS チュートリアル > PHPCMS > PHPCMS の脆弱性フロントエンド インジェクションにより、任意のファイルが読み取られる

PHPCMS の脆弱性フロントエンド インジェクションにより、任意のファイルが読み取られる

爱喝马黛茶的安东尼
リリース: 2019-11-21 10:06:42
転載
4326 人が閲覧しました

PHPCMS の脆弱性フロントエンド インジェクションにより、任意のファイルが読み取られる

phpcmsフロントエンドインジェクションによる任意ファイル読み取り脆弱性の修復問題について

简介:
phpcms的/phpcms/modules/content/down.php 文件中,对输入参数 $_GET['a_k'] 未进行严格过滤,导致SQL注入的发生,黑客
可利用该漏洞读取任意文件。
…
阿里云服务器提示漏洞问题。
ログイン後にコピー

解決策:

1. 冒頭の脆弱性プロンプトに従って、対応するファイル down.php の対応する場所 (18 行目と 89 行目付近) を見つけ、対応するコードを追加または置き換えます。

パッチ コード スニペットは次のとおりです:

$a_k = safe_replace($a_k);
parse_str($a_k);
ログイン後にコピー

変更されたパッチ コード スニペットは次のとおりです:

最初の変更、18 行目付近:

PHPCMS の脆弱性フロントエンド インジェクションにより、任意のファイルが読み取られる

2 番目の変更、89 行目付近:

PHPCMS の脆弱性フロントエンド インジェクションにより、任意のファイルが読み取られる

注: 1 番目と 2 番目のパッチ コードの内容は同じです。

3 番目の変更、120 行目付近:

パッチ コード スニペットは次のとおりです:

$fileurl = str_replace(array(&#39;<&#39;,&#39;>&#39;), &#39;&#39;,$fileurl); 
file_down($fileurl, $filename);
ログイン後にコピー

注: 実際のテストの後、可能な限り、上記 2 行のコード Alibaba Cloud による検出を避けるためのコードは他に存在しないはずであり、修復結果は無効になります。

変更されたパッチ コード スニペットのスクリーンショットは次のとおりです:

PHPCMS の脆弱性フロントエンド インジェクションにより、任意のファイルが読み取られる

2. 次に、変更したファイルをサーバー上の対応するファイルの場所にアップロードし、直接上書きします;

3. 最後に、Alibaba Cloud バックエンドにログインし、[確認] (下のスクリーンショット) をクリックして脆弱性の修復を完了します。

PHPCMS の脆弱性フロントエンド インジェクションにより、任意のファイルが読み取られる

上記は「任意のファイルを読み取られる脆弱性を引き起こすphpcmsフロントエンドインジェクション」の脆弱性修復内容です。

PHP 中国語 Web サイト、多数の無料 PHPCMS チュートリアル 、オンライン学習へようこそ!

以上がPHPCMS の脆弱性フロントエンド インジェクションにより、任意のファイルが読み取られるの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:csdn.net
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート