Die Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien

Über die Behebung der Sicherheitslücke beim Lesen willkürlicher Dateien, die durch die PHPCMS-Frontend-Injection verursacht wird

简介：
phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET['a_k'] 未进行严格过滤，导致SQL注入的发生，黑客
可利用该漏洞读取任意文件。
…
阿里云服务器提示漏洞问题。

Lösung:

1. Suchen Sie gemäß der Aufforderung zur Sicherheitslücke in der Einleitung den entsprechenden Speicherort der entsprechenden Datei down.php (in der Nähe der Zeilen 18 und 89) und fügen Sie den entsprechenden Code hinzu oder ersetzen Sie ihn.

Der Patchcode-Snippet lautet wie folgt:

$a_k = safe_replace($a_k);
parse_str($a_k);

Der geänderte Patchcode-Snippet lautet wie folgt:

Die erste Änderung, in der Nähe von Zeile 18:

Die zweite Änderung, in der Nähe von Zeile 89:

Hinweis: Der Inhalt des ersten und zweiten Patchcodes ist derselbe.

Die dritte Änderung, nahe Zeile 120:

Der Patchcode-Snippet lautet wie folgt:

$fileurl = str_replace(array(&#39;<&#39;,&#39;>&#39;), &#39;&#39;,$fileurl); 
file_down($fileurl, $filename);

Hinweis: Nach tatsächlichen Tests so viel wie möglich zwischen den Über den beiden Codezeilen sollte kein anderer Code vorhanden sein, um zu verhindern, dass er von Alibaba Cloud erkannt wird, und das Reparaturergebnis ist ungültig.

Der Screenshot des geänderten Patchcode-Snippets lautet wie folgt:

2. Laden Sie dann die geänderte Datei an den entsprechenden Dateispeicherort auf dem Server hoch überschreiben Sie es direkt;

3. Melden Sie sich abschließend beim Alibaba Cloud-Backend an und klicken Sie auf „Überprüfen“ (Screenshot unten), um die Schwachstellenreparatur abzuschließen.

Oben geht es um die Behebung der Schwachstelle „phpcms-Frontend-Injection führt zu einer Sicherheitslücke beim Lesen beliebiger Dateien“.

PHP-Website für Chinesisch, eine große Anzahl kostenloser PHPCMS-Tutorials, willkommen zum Online-Lernen!

Das obige ist der detaillierte Inhalt vonDie Frontend-Injection einer PHPCMS-Schwachstelle führt zum willkürlichen Lesen von Dateien. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!