- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
相关文章
国信办再关闭31家违规网站 云南公布第二批免费向社会提供信息技术服务企业名单 云南省2019年国家网络安全周在丽江启动,蓝队云获颁“最佳技术支持奖” 英特尔计划在中国打造物联网国际品牌 中国互联网企业赴美上市规模预计今年或减半
dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法
2017-05-27 17:19:53
9003
漏洞名称:dedecms cookies泄漏导致SQL漏洞
漏洞文件:/member/article_add.php
漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。
解决方法
搜索代码:
if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))
替换为
if (empty($dede_fieldshash) || ( $dede_fieldshash != md5($dede_addonfields . $cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields . 'anythingelse' . $cfg_cookie_encode)) )
