-
網站漏洞
從字面意思上看是內存資源被耗盡,內存不足了。 但是在織夢CMS上那是因為文章內容有大量html代碼引起的致命錯誤。 問題是我們該如何找到是哪個文檔引起的這個致命錯誤的呢,下面教程教你找到并解決問題 1、根據提示打開 /include/helpers/string.helper.php 找到,大概在 121 行 preg_match_all( /./su , $str, $ar); 在它上面加入 global $id ; echo $id ; 保存 2、重新去更新文檔HTML,看最后生成id是哪個,再到【所...
2019-12-05 446
-
網站漏洞
近期登陸阿里云服務器后臺查看數據,發現一個這樣的CMS漏洞提示預警: 修復原理相同,找到如下代碼: $dsql-ExecuteNoneQuery( UPDATE `dede_guestbook` SET `msg`=$msg, `posttime`= .time(). WHERE id=$id ); 替換成: $msg = addslashes($msg); $dsql-ExecuteNoneQuery( UPDATE `dede_guestbook` SET `msg`=$msg, `posttime`...
2019-09-02 224
-
網站漏洞
最新的織夢程序手機版下一篇變上一篇而且還出錯Request Error!,這是因為官方寫錯了一個地方 打開 /include/arc.archives.class.php 找到 $ mlink = view.php?aid= . $preRow [ id ]; 注意:這個文件里面有2個上面的代碼,真正要改的是大概在 839 行 改成 $ mlink = view.php?aid= . $nextRow [ id ];...
2019-08-29 263
-
網站漏洞
1、/kindeditor/kindeditor-all.js 或者 /kindeditor/kindeditor.js 或者 /kindeditor/kindeditor-min.js 找到圖片按鈕的代碼 div class = tab2 style = display:none; , 在里面加入 div class = ke-dialog-row , label for = remoteTitle style = width:60px; + lang.imgTitle + / label , inpu...
2019-08-29 178
-
網站漏洞
多余的話就不說了,配置Windows Server 2016服務器具體如下圖 到此就配置完了,打開本地網址127.0.0.1即可。...
2019-08-23 182
-
網站漏洞
Dedecms V5.7版本后臺可實現對于文件的重命名,可將上傳的任意文件重名為php文件,導致getshell。 該漏洞的邏輯比較簡單,就從漏洞的入口文件開始看,漏洞的入口文件是dede/file_manage_control.php,其部分源碼如下: 重點就在于這里的if,由于dede采取的是偽全局變量注冊機制,導致在未經過濾的情況下我們可聲明任意變量。在該文件中,前面只是簡單的驗證身份是否正確,并沒有對于變量進行任何過濾。也就是說,我們可控$fmdo,$oldfilename,$newfilenam...
2019-07-30 258
-
網站漏洞
織夢程序在mysql錯誤時會自動在data文件夾里生成一個 mysql_error_trace.inc 文件記錄錯誤信息,很多時候這個文件的錯誤信息里有后臺目錄和管理員賬號信息在里面,我們其實大部分時候都不會去看...
2019-07-30 187
-
網站漏洞
強烈建議data/common.inc.php文件屬性設置為644(Linux/Unix)或只讀(NT),當你設置好權限后,后臺刷新,這個文件的權限又變回來了,原因是這個文件引起的 /dede(后臺)/templets/index_body.htm 里面的 刪除圈著部分代碼就行了...
2019-07-01 174
-
網站漏洞
XSS跨站腳本漏洞使得攻擊者可以欺騙用戶訪問包含惡意JavaScript代碼的頁面,使得惡意代碼在用戶瀏覽器中執行,從而導致目標用戶權限被盜取或數據被篡改。 網站模板 XSS跨站腳本漏洞的解決方案: 1、如果輸入的所有字樣都是可疑的,可以對所有輸入中的script、iframe等字樣嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口,也包括HTTP請求中的Cookie中的變量,HTTP請求頭部中的變量等。 2、驗證數據類型需要擴展,比如:驗證其格式、長度、...
2019-04-23 178
-
網站漏洞
描述:目標存在跨站腳本攻擊。 1.跨站腳本攻擊就是指惡意攻擊者向網頁中插入一段惡意代碼,當用戶瀏覽該網頁時,嵌入到網頁中的惡意代碼就會被執行。 2.盡管swfupload.swf其對傳入ExternalInterface.call的第二個參數進行了安全編碼,但對于函數名,即ExternalInterface.call的第一個參數沒有進行安全編碼。而函數名中的部分字符可控,造成xss漏洞。 危害: 1.惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄,更甚至可以修改網頁呈現給其他...
2019-04-18 226
