PHP

阿里云控制台报dedecms注入漏洞 路径xxx/plus/search.php

字号+ 编辑: 种花家 修订: 秃顶萧峰 来源: 网络转载 2023-09-10 我要说两句(0)

据说dedecms又报漏洞了? 这里有解决方案想不想了解一下?

假设xxx就是你的网站根目录, 那么涉嫌可注入的文件点就是:

xxx/plus/search.php

找到以下代码:

//引入栏目缓存并看关键字是否有相关栏目内容
require_once($typenameCacheFile);
if(isset($typeArr) && is_array($typeArr))

{
    foreach($typeArr as $id=>$typename)

{
        $keywordn = str_replace($typename, ‘ ‘, $keyword);
        if($keyword != $keywordn)

{
            $keyword = $keywordn;
            $typeid = $id; // 对ID没做任何过滤 导致注入
            break;
        }
    }
}

以上代码只是样例, 也许中途有别人改过, 或者你自己打过补丁, 其实只要你观察

$keyword = $keywordn;
$typeid = $id;

这两句就知道是否打过补丁。如果打过了,那就无所谓了。

改成如下代码的样子:

    //引入栏目缓存并看关键字是否有相关栏目内容
    require_once($typenameCacheFile);
    if(isset($typeArr) && is_array($typeArr))
    {
        foreach($typeArr as $id=>$typename)
        {
            //$keywordn = str_replace($typename, ' ', $keyword);
            $keywordn = $keyword;
            if($keyword != $keywordn)
            {
                $keyword = HtmlReplace($keywordn);
                $typeid = intval($id);
                break;
            }
        }
    }

不要嫌麻烦, 既然是自己的网站,请耐心比照一下看看哪里需要改。

我都手动修复完了, 文件也保存好了, 怎么阿里云还报这个文件有漏洞?

找你要钱, 让你买阿里的安全产品。如果腰包不充裕的话, 不理就是了。

阅完此文,您的感想如何?
  • 有用

    0

  • 没用

    0

  • 开心

    1

  • 愤怒

    0

  • 可怜

    0

1.如文章侵犯了您的版权,请发邮件通知本站,该文章将在24小时内删除;
2.本站标注原创的文章,转发时烦请注明来源;
3.交流群: PHP+JS聊天群

相关课文
  • mac开发接入微信公众号接口返回报错 cURL error 56: SSLRead() return error -9806

  • pecl安装程序时报错Array and string offset access syntax with curly braces is no longer supported

  • PHP的换行符是什么

  • 由于商家传入的H5交易参数有误,该笔交易暂时无法完成,请联系商家解决

我要说说
网上宾友点评
沙发已空