分享好友 教程首页 教程搜索 频道列表
首页 > 开发者社区 > 程序相关 > destoon漏洞维护 > 正文

阿里云提示漏洞:DESTOON变量覆盖导致延时注入

2017-06-04 21:4611430
+关注29
核心提示:file/update/20160316/source/destoon/module/mall/my.inc.phpfile/update/2016031...
file/update/20160316/source/destoon/module/mall/my.inc.php
file/update/20160316/backup/module/mall/my.inc.php

destoon使用extract函数对参数进行注册时,使用不当导致变量覆盖,从而参数不可控,导致SQL延时注入。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】



解决方案


my.inc.php里面所有的extract函数加上, EXTR_SKIP参数就可以

具体为


比如extract($item);修改成extract($item,EXTR_SKIP);

免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
生成海报
最新其他更多

关于网站被镜像的解决方案

    网站被镜像的危害通俗的讲,恶意镜像者意图利用自己有一定权重的域名进行威压,通过某些手段复制了你的站点,除了域名不一样之外,其他内容一模一样,用户或许根本无法分辨。甚至对于一些新的站点,搜索引擎都会迷惑

网络转载 destoon漏洞维护2021-12-07

阿里云后台提示漏洞:DESTOON变量覆盖导致延时注入

    出现漏洞 修复方法: my.inc.php里面所有的extract函数加上, EXTR_SKIP参数就可以 比如extract($item);修改成extract($item,EXTR_SKIP);

网络 destoon漏洞维护2020-07-27

DESTOON7.0留言漏洞修复

    自从升级到7.0以后 ,留言被国外乱码入注很是烦人,今天小黑教你一招,把php 加上登录验证即可,很简单。我们找到module/extend/guestbook.inc.php大约在13行 ,如图换行加上 如上图14行 的代码 login(); 整体效果就是方法简单明了,主要能解决问题

小黑 destoon漏洞维护2019-04-30

升级7.0后登录后台DESTOON提示会员不存在的bug修正方案

    找到主站函数文件 根目录include/global.func.php1、找到954行原$user = array_merge($r1, $r2, $r3);直接修改为$user = array_merge((array)$r1, (array)$r2, (array)$r3); bug即可修复,感谢 dt之家 提供修正方案

dt之家 destoon漏洞维护2018-03-28

升级7.0后,所有弹窗不居中的bug修正方案

    升级7.0后,所有弹窗不居中的bug修正方案经查实,是admin.js引起的bug,修正方法:打开根目录file/script/admin.js找到第16行 var cw = body.clientWidth; 如下var cw = body.clientWidth;在这行上面的上一行,新加一行加上代码if(isGecko) body = document.body;完整代码如下if(isGecko) body = document.body;//修复弹窗不居中20180328var cw = body.

小黑 destoon漏洞维护2018-03-28

下一篇
我来说两句
抢沙发