dede58

[技术问答]这几个WordPress插件存在高危漏2022-01-23

[db:描述]

[技术问答]“近年来最大计算机漏洞”被中国2022-01-21

[db:描述]

[织梦技巧]dedecms SQL注入漏洞 member/alb2021-12-17

dedecms的/dedecms/member/album_add.php文件中，对输入参数mtypesid未进行int整型转义，导致SQL注入的发生。 打开文件：/member/album_add.php 找到代码： $description = HtmlReplace($description, -1);//2011.06.30 增加html过滤 （by:织梦的鱼） 修改为

[织梦技巧]DedeCMS V5.7 SP2前台文件上传漏2021-11-04

0x01 漏洞概述 Desdev DedeCMS 5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上传漏洞，远程攻击者可利用该漏洞上传并执行任意PHP代码。 最新的DEDECMS系统存在前台文件上传漏洞，需要管理员打开会员中心，访问链接：http://12

[织梦技巧]dedecms cookies泄漏导致SQL漏洞2021-12-17

漏洞名称：dedecms cookies泄漏导致SQL漏洞 补丁文件：/member/article_add.php 补丁来源：云盾自研 漏洞描述：dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie，同时在其他核心支付系统也使用了同样的cookie进行验证，黑客可利用泄漏的cookie通过后

[织梦技巧]阿里云提醒/member/reg_new.php2021-12-17

阿里云服务器提醒/member/reg_new.php注入漏洞解决办法 1：打开/member/reg_new.php文件并找到以下代码（大概187行）： $pwd = md5($userpwd); 2：修改成为： $pwd = md5($userpwd); $mtype = HtmlReplace($mtype,1); $safeanswer = HtmlReplace($safeanswer

[织梦技巧]织梦dedecms留言板注入漏洞edit.2021-05-20

关于dedecms注入漏洞的修复的方案，现在转给大家，dedecms注入漏洞， 路径：/plus/guestbook/edit.inc.php，修复方法如下： 编辑edit.inc.php找到以下代码，大约在第55行、56行： $dsql-ExecuteNoneQuery(UPDATE `dede_guestbook` SET `msg`=$msg, `posttime

[织梦技巧]织梦CMS <=5.7 SP2 file_clas2021-05-17

漏洞 DedeCMS =5.7 SP2 file_class.php 任意文件上传漏洞 简介 dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell. 文件 /dede/file_class.php 修复 打开 /dede/file_class.php 找到大概在161行 else if(preg_match(/.(.$

[织梦技巧] 阿里云提示：织梦dedecms 支付2021-05-11

阿里云提示：织梦dedecms 支付模块注入漏洞导致SQL注入修复方法。又是哪里有问题呢，文件在include/payment/下面include/payment/alipay.php文件，搜索(大概在137行的样子) $order_sn = trim($_GET[out_trade_no]); 修改为 $order_sn = trim(addslashes($_GE

[织梦技巧]dedecms安全漏洞之/include/comm2021-05-11

1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞，可以任意覆盖任意全局变量。 描述： 目标存在全局变量覆盖漏洞。 1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.D

[织梦技巧]织梦dedecms漏洞修复大全含任意2021-05-11

很多人说dedecms不好，因为用的人多了，找漏洞的人也多了，那么如果我们能修复的话，这些都不是问题，今天就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php；SQL注入漏洞包含5个

[织梦技巧]织梦dedecms上传漏洞uploadsafe.2021-05-07

dedecms上传漏洞uploadsafe.inc.php，这里直接给出修复漏洞的方法，希望大家可以多学习。 今天分享的漏洞是一个关于织梦dedecms上传漏洞修复方法，主要是文件/include/uploadsafe.inc.php。 有2个地方： 1、搜索 ${$_key._size} = @filesize($$_key); }(大概

[织梦技巧]dedecms的变量覆盖漏洞导致注入2021-05-07

dedecms的变量覆盖漏洞导致注入漏洞 文件是：include/filter.inc.php 防御方法 /include/filter.inc.php /*** 过滤不相关内容** @access public* @param string $fk 过滤键* @param string $svar 过滤值* @return string*/$magic_quotes_gpc = ini_get(magic

[织梦技巧]dedecms留言板edit.inc.php注入2021-04-28

dedecms留言板edit.inc.php注入漏洞修复方法 dedecms注入漏洞，路径：/plus/guestbook/edit.inc.php，修复方法如下： 编辑edit.inc.php找到以下代码，大约在第55行、56行： $dsql-ExecuteNoneQuery(UPDATE `dede_guestbook` SET `msg`=$msg, `posttime`=.tim

[织梦技巧]织梦dedecms二维码XSS跨站脚本漏2021-04-26

dedecms v5.7 qrcode二维码XSS跨站脚本漏洞修复： 打开 /plus/qrcode.php 找到，大概在第8行 $type = isset($type)? $type : ; 修改为： $type = isset($type)? RemoveXSS(HtmlReplace($type,3)) : ;

[织梦技巧]DedeCMS教程：投票模块漏洞解决2021-03-25

DedeCMS投票模块有朋友反映投票主题的选项经常被sql注入删除，经过iOS100知识库查看代码发现投票模块代码没有对sql参数进行转换，导致不法分子sql注入。只要讲addslashes()改为mysql_real_escape_string()即可。 打 开/include/dedevote.class.php文件，查

[织梦技巧]Dedecms中一个重大漏洞文件carbu2021-03-08

使用过DEDECMS的人，可能很多都知道了这个漏洞，在DEDECMS5.X版本中，这个文件漏洞一直存在，文件如下：漏洞文件carbuyaction.php 首先利用cookie修改工具，加上code=alipay然后访问 http://www.xxx.com/plus/carbuyaction.php?dopost=returncode=../../uplo

[织梦技巧]Dedecms织梦程序漏洞层出不穷 解2021-02-20

众所周之，织梦的开源程序在企业站或门户站中占有很大地位，其以自身强大功能及上手快，操作易的特点， 使得不少初学者纷纷选择此程序来搭建自己的网站站点。然而，正是因为如此多的的人使用此程序，也使得不少黑客利用其程序本身漏洞，入侵站长网站，挂黑链

[织梦技巧]织梦漏洞可疑PHP文件/article文2021-02-03

织梦DEDECMS系统2013年相继爆出很多漏洞，70%以上的织梦系统网站中招，防不胜防啊，下面介绍几点织梦常见的漏洞文件和常见的状况，以及如何做好织梦安全防护措施。 常见可疑文件夹： 1：article文件夹：最近很多织梦系统网站根目录被上传article文件件，里面

[织梦技巧]织梦DedeCMS投票漏洞解决方法2021-01-19

打开//dedevote.class.php文件，查 找 $this-dsql-ExecuteNoneQuery(UPDATE `dede_vote` SET totalcount=.($this-VoteInfos[totalcount]+1).,votenote=.addslashes($items). WHERE aid=.$this-VoteID.);修改为$this-dsql-ExecuteNoneQuery(UPDATE `dede_vote

[织梦技巧]防止Dedecms入侵、漏洞问题的4点2020-12-30

一、最基本的安全设置：修改dedecms默认后台目录/dede/和修改管理员帐号密码； 二、如网站不需要使用会员系统，建议删除/member/文件夹； 三、将/data/文件夹移到Web访问目录外，这条是dedecms官方建议，具体操作方法如下： 1. 将/data/文件夹移至web根目录

[织梦技巧]dedecms修改任意管理员漏洞处理2020-12-18

本文实例讲述了dedecms修改任意管理员漏洞处理方法。分享给大家供大家参考。具体分析如下： 织梦DEDECMS是全国用到最多的cms系统了,正由于用得人多而且是开源的代码,所以分析人也多bug出现不少,根据小编总结出现bug大多是在变量上,这次又是全局变量$GLOBALS

[织梦技巧]织梦CMS漏洞修复之目录权限教程2020-12-09

今天晚上有点时间,就跟大家说下,关于织梦防黑这块,必须要对服务器上面的目录权限做的一些操作. 1.站点根目录：需要执行和读取权限 如果要在根目录下面创建文件和目录的话需要有写入权限 ,一般在安装织梦的时候就需要把目录权限改为755了,不然可能安装不了//c

[故障问题]media_add.php dedecms后台文件2020-11-13

阿里云服务器media_add.php dedecms后台文件任意上传漏洞的解决方案 dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格的限制，这导致了黑客可以上传WEBSHELL，获取网站后台权限 跟大家

[织梦技巧]Dedecms安全：如何预防投票模块2020-11-06

Dedecms是一款现使用人数比较多的开源程序之一，它的功能强大，而且利于SEO优化，很受大家的喜爱，无忧主机php空间中也有很多这款程序。但这款程序伴随着一定的风险，那就是安全性很差，今天无忧小编就给大家讲解一下如何防范织梦系统投票模块防止SQL的注入

[织梦技巧]织梦CMS阿里云提示漏洞修复方法2020-08-16

站长最开始也是用的织梦cms，由于织梦cms经常报漏洞后来就换成了现在的帝国CMS。 dedecms的漏洞问题都是众所周知的了，织梦cms在用阿里云ECS服务器的时候，阿里云服务器后都会提示各种各样的织梦CMS漏洞,dedecms漏洞。 遇到这种情况应该怎么办了，唯一方法就

[织梦技巧]dedecms支付模块SQL注入漏洞解决2020-08-14

最近看到阿里云后台提示了织梦dedecms的支付模块注入漏洞导致SQL注入。引起的文件是/include/payment/alipay.php文件，下面告诉大家修复方法： 找到并打开/include/payment/alipay.php文件， 在里面找到如下代码： 1$order_sn = trim($_GET[out_trade_no]);

[安装使用]最新织梦cms漏洞之安全设置,有效2020-08-12

织梦CMS在安装完成后，新人往往会直接开始开发使用，忽视了一些安全优化的操作，这样会导致后期整个系统安全系数降低，被黑或者被注入的概率极高，毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描，扫到你这个菜站，尤其是使用率极高的DEDECMS

[织梦技巧]dedecms cookies泄漏导致SQL漏洞2020-07-16

摘要：漏洞：dedecms cookies泄漏导致SQL漏洞描述：dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie，同时在其他核心支付系统也使用了同样的cookie进行验证，黑客可利用泄漏的cookie通过后台验证，进行后台注入。 文件：/member/article_add.php 漏

[织梦技巧]dedecms SQL注入漏洞2020-07-16

摘要：漏洞：dedecmsSQL注入漏洞 描述：dedecms的/dedecms/member/album_add.php文件中，对输入参数mtypesid未进行int整型转义，导致SQL注入的发生。 文件：/member/album_add.php 漏洞 dedecms SQL注入漏洞 简介 DedeCMS V5.7 SP2正式版(2018-01-09) dedecm

[织梦技巧]阿里云提示：织梦dedecms 支付模2020-06-28

阿里云提示：织梦dedecms 支付模块注入漏洞导致SQL注入修复方法。 又是哪里有问题呢，文件在 i nclude/payment/ 下面 一、 include/payment/alipay.php 文件，搜索( 大概在137行的样子 ) $order_sn = trim($_GET[out_trade_no]); 修改为 $order_sn = trim( a

[织梦技巧]dedecms最新版本修改任意管理员2020-05-09

织梦dedecms最新版本修改任意管理员漏洞+getshell+exp 此漏洞无视gpc转义，过80sec注入防御。 补充下，不用担心后台找不到。这只是一个demo，都能修改任意数据库了，还怕拿不到SHELL？ 起因是全局变量$GLOBALS可以被任意修改，随便看了下，漏洞一堆，我只找

[织梦技巧]DEDECMS网站管理系统模板执行漏2020-05-09

织梦DEDECMS网站管理系统模板执行漏洞 一个不小心，你的服务器就会被黑客攻破，比如数据库密码过于简单，服务器密码过于简单，或者CMS系统漏洞。 下面是一个DEDE的模板执行漏洞。 漏洞描述：Dedecms V5.6 Final版本中的各个文件存在一系列问题，经过精心构造

[织梦技巧]DEDECMS去除所有自带后门和漏洞2020-04-29

织梦Dedecms安全步骤，安装之后的操作 1 将文件夹dede改名为其他，比如 /fukedh.com/ 2 搜索ad.dedecms.com，文件D:\WebSite\fukedh.com\www\gzadmin\templets\login_ad.htm 删除如下这一段： !--script type=text/javascript src=?php echo $updateHost;?/d

[后台模板]安全漏洞检测系统后台模板2020-03-05

[故障问题]织梦dedecms上传漏洞uploadsafe.2020-02-25

织梦dedecms上传漏洞uploadsafe.inc.php，这里直接给出修复漏洞的方法，希望大家可以多学习。 今天分享的漏洞是一个关于织梦dedecms上传漏洞修复方法，主要是文件/include/uploadsafe.inc.php。 有2个地方： 1、搜索 ${$_key._size} = @filesize($$_key); }(

[故障问题]dedecms漏洞修复大全含任意文件2020-02-24

很多人说织梦dedecms不好，因为用的人多了，找漏洞的人也多了，那么如果我们能修复的话，这些都不是问题，今天我就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php；SQL注入漏洞

[织梦技巧]织梦安全漏洞include/common.inc2020-02-21

1.受影响版本织梦dedecms 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞，可以任意覆盖任意全局变量。 描述： 目标存在全局变量覆盖漏洞。 1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php

[故障问题]media_add.php dedecms后台文件2020-02-20

阿里云服务器media_add.php 织梦dedecms后台文件任意上传漏洞的解决方案 织梦dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格的限制，这导致了黑客可以上传WEBSHELL，获取网站后台权

[织梦技巧]使用dedecms做网站的用户需要漏2020-01-01

第一、安装的时候数据库的表前缀，最好改一下，不用dedecms默认的前缀dede_,可以改成xxxx_,随便一个名称即可。 第二、后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号，管理员密码一定要长，至少8位，而且字母与数字混合

[织梦技巧]织梦建站系统曝高危漏洞 站长请2019-12-19

笔者虽然有一份产品运营的工作，但是同样也是一名个人站长。我常用的建站系统有织梦DedeCMS系统和wordpress系统，所以也非常关注这两个系统的最新动态。今天菜菜在网上游荡时，忽然看到一篇织梦系统被曝安全漏洞的文章，不过好在织梦DedeCMS官网已经发布相应

[织梦技巧]织梦dedecms plus/search.php注2019-12-13

织梦dedecms的最近出的一高危漏洞，search.php注入漏洞;估计现在很多黑阔都非常爱dedecms,因为经常有各种漏洞爆出.很多利用起来也都很简单. 下面是漏洞的详细利用细节： 01: http://www.example.com/plus/search.php?keyword=astypeArr[ uNion ]=a 报错如果

[织梦技巧]注意：Dedev5.6 中的跨站漏洞的2019-12-06

注意：织梦Dedev5.6 中的跨站漏洞的修复方法。 修改templets\default\search.htm文件第43行，找到 {dede:pagelist listsize=4/} 修改为 {dede:pagelist listsize=4 function=RemoveXSS(@me)/} 修改member\index_do.php文件第5行，找到 require_once(DEDEINC.

[织梦技巧]织梦dedecms最新版本修改任意管2019-12-02

织梦dedecms此漏洞无视gpc转义，过80sec注入防御。 补充下，不用担心后台找不到。这只是一个demo，都能修改任意数据库了，还怕拿不到SHELL？ 起因是全局变量$GLOBALS可以被任意修改，随便看了下，织梦dedecms漏洞一堆，我只找了一处织梦dedecms。 include/de

[织梦技巧]dedecms防XSS,sql注射,代码执行,2019-11-22

织梦dedecms防XSS,sql注射,代码执行,文件高危漏洞 ，最近因为织梦dedecms的漏洞，不少朋友用织梦dedecms建设的网站都被黑掉了。 特意来分享一下模板无忧在用的一个代码,本代码可以有效防护XSS，sql注射，代码执行，文件包含等多种高危漏洞。 使用方法： 1.将

[织梦技巧]织梦dedecms系统免疫漏洞安全设2019-11-17

织梦dedecms估计是用得人太多，漏洞暴露得不少，连外国空间服务商都对些无比担忧，被戏称为洞王，下面有大侠提出的免疫漏洞方法，可供参考使用。 一、apache 在.htaccess下加入以下代码就可以了： IfModule mod_rewrite.cRewriteEngine onRewriteRule (plus|

[后台模板]安全漏洞检测管理系统后台模板2019-10-30

简单的网络服务器安全漏洞检测管理系统模板html下载。页面动态展示，导航左侧隐藏展开效果。

[织梦技巧]最新织梦cms漏洞之安全设置,有效2019-10-19

织梦CMS在安装完成后，新人往往会直接开始开发使用，忽视了一些安全优化的操作，这样会导致后期整个系统安全系数降低，被黑或者被注入的概率极高，毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描，扫到你这个菜站，尤其是使用率极高的DEDECMS

[SEO教程]【网站漏洞】网站漏洞具体有哪些2019-05-10

所谓XSS脚本漏洞即是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，恶意html代码会被执行，从而达到攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以被很多人忽略。

[SEO教程]网站XSS跨站脚本漏洞的危害有哪2019-02-21

XSS跨站脚本漏洞：网站程序忽略了对输入字符串中特殊字符与字符串的检查，使得攻击者可以欺骗用户访问包含恶意JavaScript代码的页面，使得恶意代码在用户浏览器中执行，从而导致目标用户权限被盗取或数据被篡改。 XSS跨站脚本漏洞的危害： 1、钓鱼欺骗 2、网

[SEO教程]什么是低危漏洞？低危漏洞有哪些2019-02-20

什么是低危漏洞？ 低危漏洞指的是仅可能被本地利用且需要认证。成功的攻击者很难或无法访问不受限制的信息、无法破坏或损坏信息且无法制造任何系统中断。 低危漏洞包括哪些？ 高危漏洞包含页面上存在网站程序的调试信息、网站存在后台登录地址、网站存在服务

[SEO教程]网站XSS跨站脚本漏洞的解决方案2019-02-20

XSS跨站脚本漏洞使得攻击者可以欺骗用户访问包含恶意JavaScript代码的页面，使得恶意代码在用户浏览器中执行，从而导致目标用户权限被盗取或数据被篡改。 网站XSS跨站脚本漏洞的解决方案： 1、如果输入的所有字样都是可疑的，可以对所有输入中的script、ifra

[Oracle教程]Oracle也有注入漏洞2019-02-08

Oracle也有注入漏洞

[文章专题]如何检测网站漏洞暂无

[discuz教程]Discuz x3.1任务刷积分漏洞说明2019-01-02

这个是4月份之前的漏洞的，不知道新版本有没有修复这个问题，但最新一个VIP会员反馈遇到刷积分的问题，可能是QQ互联绑定刷积分导致的，所以这里就把乌云上面的discuz x3.1任务刷积分漏洞的方法拿过来跟大家分享下。 在完成任务时（home.php?mod=drawdo=viewi

[discuz教程]Discuz! X3.4 X3.3 UC(/uc_serve2018-12-24

Discuz! X3.4 X3.3 UC(/uc_server/data/tmp)上传执行漏洞修复 (阿里云热修复补丁): 介绍：在Discuz中，uc_key是UC客户端与服务端通信的通信密钥，discuz中的/api/uc.php存在代码写入漏洞，导致黑客可写入恶意代码获取uckey，最终进入网站后台，造成数据泄漏

[discuz教程]阿里云提示 Didcuz memcache+ssr2018-12-21

使用阿里云的同学最近可能都收到了，阿里云给出的警告！ 漏洞名称如下： Didcuz memcache+ssrf GETSHELL漏洞 那么DZ起点网在这给各位同学给出一个最简单的修复方案！ 首先找到这个文件 source/function/function_core.php 复制代码 搜索代码： $_G[setting][

[discuz教程]阿里云提示 Discuz uc.key泄露导2018-12-21

很多同学最近反应都收到了，阿里云给出的安全警告!警告标题为： Discuz uc.key泄露导致代码注入漏洞 文件位于： /api/uc.php 下面DZ起点网为大家给出了修复方案！ 开始修复之前呢，给大家说一下，如果你是安装的最新版本的discuz x3.2 那么漏洞是已经修复了

[故障问题]Swfupload.swf 跨站脚本攻击漏洞2018-12-18

描述：目标存在跨站脚本攻击。 1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码，当用户浏览该网页时，嵌入到网页中的恶意代码就会被执行。 2.尽管swfupload.swf其对传入ExternalInterface.call的第二个参数进行了安全编码，但对于函数名，即Extern

[织梦技巧]Dedecms 漏洞频出 给使用者的一2018-11-28

织梦(dedecms) 漏洞频出，让一些站长惶恐，不过掌握一些基本知识可以让你在遇到这些问题时，不再那么害怕与无助。 不管是最近的用户发表文章自定义模版漏洞还是这个carbuyaction.php 本地包含文件漏洞，还是之前的什么会员中心上传发表漏洞，有没有发现他们

[故障问题]dedecms织梦模板支付模块注入漏2018-10-22

/include/payment/alipay.php dedecms支付模块注入漏洞 修复方案 将 $order_sn = trim($_GET[out_trade_no]); 修改成 $order_sn = trim($_GET[out_trade_no]); $order_sn = htmlspecialchars($order_sn);

[故障问题]织梦模板album_add.php文件SQL注2018-10-13

阿里云ECS 安骑士提示织梦DEDECMS /member/album_add.php文件中，对输入参数mtypesid未进行int整型转义，导致SQL注入的发生。 修复方法： 打开dedecms/member/album_add.php文件，查找以下代码（大约220行左右） $description = HtmlReplace($description, -1

[织梦技巧]DedeCMS织梦后台文件任意上传漏2018-10-09

网站迁移到阿里云之后，一直提示有一个漏洞，如下： 漏洞名称：dedecms后台文件任意上传漏洞 补丁文件：media_add.php 漏洞描述：dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格的限

[故障问题]DedeCMS上传漏洞uploadsafe.inc.2018-10-08

网站迁移到阿里云之后，一直提示有一个漏洞，如下： 漏洞名称： dedecms 上传漏洞 漏洞文件： include/uploadsafe.inc.php 漏洞描述： dedecms过滤逻辑不严导致上传漏洞。 在网上百度了一下，找一个比较好的方法，把这个漏洞问题解决了，主要修改uploadsafe.

[织梦技巧]DedeCMS下data/mysql_error_trac2018-09-14

DedeCMS下data日志mysql_error_trace.inc记录了很多MYSQL错误记录，如果你曾经在后台访问时候出现过MYSQL错误，就会暴露后台地址，因为这个文件文件名固定，很容易被人给扫到漏洞因此可以改名处理。 解决办法一： 首先用FTP或远程登陆的方式将data/mysql_err

[故障问题]利用DEDECMS漏洞进行DDOS攻击的2018-09-11

近期,有部分无聊人士喜欢利用0day 找到程序的漏洞上传流量攻击脚本,让人很头疼。目前发现的99%是dedecms程序漏洞,如果您正在使用dedecms程序,请看下面的几个步骤。 1.在dedecms的后台更新补丁,尽可能升级为最新版本。 2.data、templets、uploads、install这

[故障问题]DedeCMS后台文件任意上传漏洞med2018-09-08

网站迁移到阿里云之后，一直提示有一个漏洞，如下： 漏洞名称： dedecms后台文件任意上传漏洞 补丁文件： media_add.php 漏洞描述： dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格

[织梦技巧]阿里云提示织梦DedeCMS uploadsa2018-08-18

很多将织梦dedecms安装在阿里云的ecs的站长每次都会看到阿里云盾就会通知有一个上传漏洞，引起的文件是/include/uploadsafe.inc.php文件， 原因是dedecms原生提供一个本地变量注册的模拟实现，原则上允许黑客覆盖任意变量，就会导致被攻击，下面告诉大家解决

[故障问题]织梦album_add.php文件SQL注入漏2018-08-09

阿里云ECS 安骑士提示织梦DEDECMS /member/album_add.php文件中，对输入参数mtypesid未进行int整型转义，导致SQL注入的发生。 修复方法： 打开dedecms/member/album_add.php文件，查找以下代码（大约220行左右） $description = HtmlReplace($description, -

[故障问题]织梦注册用户任意文件删除漏洞ar2018-08-09

漏洞名称：织梦DedeCMS v5.7 注册用户任意文件删除漏洞 危险等级：★★★★★(高危) 漏洞文件：/member/inc/archives_check_edit.php 披露时间：2017-03-20 漏洞描述：注册会员用户可利用此漏洞任意删除网站文件。 修复方法： 打开/member/inc/archives_chec

[故障问题]织梦member/reg_new.php SQL注入2018-08-09

1. 漏洞描述 Dedecms会员中心注入漏洞 2. 漏洞触发条件 /member/reg_new.php?dopost=regbasestep=1mtype=%B8%F6%C8%CBmtype=%B8%F6%C8%CBuserid=123asd123uname=12asd13123userpwd=123123userpwdok=123123email=1213asd123%40QQ.COMsafequestion=1,111111111

[织梦技巧]织梦dedecms注入漏洞pm.php修复2018-07-20

/member/pm.php这个是dedecms注入漏洞，处理方案如下： 打开/member/pm.php，搜索： elseif($dopost==read) { $sql=SELECT*FROM`dede_member_friends`WHEREmid={$cfg_ml-gt;M_ID}ANDftype!=-1ORDERBYaddtimeDESCLIMIT20; $friends=array(); $dsql-gt;SetQuer

[织梦技巧]织梦dedecms留言板注入漏洞edit.2018-07-20

/plus/guestbook/edit.inc.php这个是一个dedecms留言板注入漏洞，因为没有对$msg过滤，导致可以任意注入，处理方案如下： 打开/plus/guestbook/edit.inc.php，搜索代码： else if($job==editok) 修改为： elseif($job==editok){$remsg=trim($remsg); /*验证$

[织梦技巧]织梦dedecms cookies泄漏导致SQL2018-07-20

/member/article_add.php这个是一个dedecms cookies泄漏导致SQL漏洞，处理方案如下： 打开文件：/member/article_add.php，搜索代码： if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode)) 修改为： if (empty(

[织梦技巧]dedecms织梦模版SQL注入漏洞soft2018-07-20

漏洞描述： dedecms的/member/soft_add.php中，对输入模板参数$servermsg1未进行严格过滤，导致攻击者可构造模版闭合标签，实现模版注入进行GETSHELL。 修补方法： /member/soft_add.php文件154行，找到以下代码 $urls .= {dede:link islocal=1 text={$serve

[织梦技巧]阿里云提示织梦dedecms支付模块2018-07-19

最近看到阿里云后台提示了织梦dedecms的支付模块注入漏洞导致SQL注入。引起的文件是/include/payment/alipay.php文件，下面告诉大家修复方法： 找到并打开/include/payment/alipay.php文件， 在里面找到如下代码： $order_sn = trim($_GET[out_trade_no]);

[织梦技巧]阿里云提示织梦common.inc.php文2018-07-19

阿里云后台提示织梦common.inc.php文件SESSION变量覆盖漏洞会导致SQL注入，黑客可以直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询，这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话，下面告诉大家怎么修复这个漏洞： 首先

[织梦技巧]阿里云提示织梦后台文件media_ad2018-07-19

漏洞描述： dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格的限制，这导致了黑客可以上传WEBSHELL，获取网站后台权限。【注意：该补丁为云盾自研代码修复方案，云盾会根据您当前代码

[织梦技巧]dedecms织梦uploadsafe.inc.php2018-07-19

漏洞描述： dedecms过滤逻辑不严导致上传漏洞。 下面告诉大家解决的办法： 我们找到并打开/include/uploadsafe.inc.php文件，在里面找到如下代码： if(empty(${$_key._size})) { ${$_key._size} = @filesize($$_key); } 在其下面添加如下代码： $imtypes = a

[织梦技巧]dedecms织梦select_soft_post.ph2018-07-19

在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞，引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。 原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉，所以我们需要手动添加代码过滤，具