石家庄做网站,石家庄网站优化,石家庄网络推广,石家庄网络公司
当前位置:主页 > 新闻资讯 > 技术笔记 >

dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法

发表日期:2020-01-15 14:27文章编辑:织梦DEDECMS教程浏览次数: 标签: 织梦|技术笔记|article_add|    

漏洞名称:dedecms cookies泄漏导致SQL漏洞
补丁文件:/member/article_add.php
补丁来源:云盾自研
漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。
 
解决方法
搜索代码:
if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))
 
修改代码为:
if (empty($dede_fieldshash) || ( $dede_fieldshash != md5($dede_addonfields . $cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields . 'anythingelse' . $cfg_cookie_encode)) )

如没特殊注明,文章均来自网络!转载请注明来自:https://www.yousouke.com/News/jsbj/8276.html

网站设计案例推荐

热门新闻

DEDECMS提示Fatal error错误

Nginx的Gzip压缩配置

织梦DedeCMS定时自动生成首页HTML的实现方法

IIS7下js文件启用Gzip后却不压缩的解决方法

dede织梦教程:列表页、文章页调用所有顶级栏目文章的方法

WordPress 集成百度 Sitemap 实时推送代码

织梦DedeCMS定时自动生成首页HTML的实现方法

WORDPRESS文章中微信打赏功能的2种实现方法

相关新闻

DedeCms织梦TAG标签静态生成html,url拼音及分页优化的方法

织梦文章内容页调用同分类栏目下的其它文章方法

DedeCMSv5.7 tag标签长度限制12字节修改方法

Dedecms如何显示文章数量的方法

dede出现search.php on line 44 search.php报错

dedecms大量删除文章后,列表页显示错误修复办法

推荐新闻

帝国cms灵动标签调用字母所属的信息

帝国cms如何在tags列表页获取当前tag的ID方法

帝国cms怎么实现页面自动生成html

织梦DedeCMS实现{dede:channel}标签增加数字序号的方法

织梦CMS文章模型整合下载功能,可判断点数,会员组等下载权限

IIS7下js文件启用Gzip后却不压缩的解决方法

织梦DEDECMS教程:添加RSS订阅功能

dede简略标题调用标签

正确配置 WordPress 邮件SMTP