国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

首頁 CMS教程 PHPCMS PHPCMS漏洞之v9寬字節(jié)注入問題

PHPCMS漏洞之v9寬字節(jié)注入問題

Nov 21, 2019 am 10:43 AM
phpcms 漏洞

PHPCMS漏洞之v9寬字節(jié)注入問題

關(guān)于阿里云提示“phpcms v9寬字節(jié)注入問題”的漏洞修復(fù)方案

簡介:
漏洞名稱:phpcms v9寬字節(jié)注入問題
補(bǔ)丁文件:www/phpcms/modules/pay/respond.php
補(bǔ)丁來源:云盾自研
漏洞描述:phpcmsv9.5.9以后版本開始默認(rèn)使用mysqli支持,在phpcms/modules/pay/respond.php中,因?yàn)榇a邏輯不夠嚴(yán)謹(jǐn),
導(dǎo)致寬字節(jié)注入。【注意:該補(bǔ)丁為云盾自研代碼修復(fù)方案,云盾會(huì)根據(jù)您當(dāng)前代碼是否符合云盾自研的修復(fù)模式進(jìn)行檢測,
如果您自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案,可能會(huì)導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞,云盾依然報(bào)告存在
漏洞,遇到該情況可選擇忽略該漏洞提示】
…
阿里云漏洞提示。

解決辦法:

1、打開www/phpcms/modules/pay/respond.php,代碼第14行左右;

2、找到respond_get()替換成下面的代碼,代碼如下:

public function respond_get() { 
 if ($_GET['code']){ 
      $code = mysql_real_escape_string($_GET['code']);//注意修改
      $payment = $this->get_by_code($code);//注意修改
      if(!$payment) showmessage(L('payment_failed')); 
      $cfg = unserialize_config($payment['config']); 
      $pay_name = ucwords($payment['pay_code']); 
      pc_base::load_app_class('pay_factory','',0); 
      $payment_handler = new pay_factory($pay_name, $cfg); 
      $return_data = $payment_handler->receive(); 
      if($return_data) { 
          if($return_data['order_status'] == 0) {              
              $this->update_member_amount_by_sn($return_data['order_id']); 
          } 
          $this->update_recode_status_by_sn($return_data['order_id'],$return_data['order_status']); 
          showmessage(L('pay_success'),APP_PATH.'index.php?m=pay&c=deposit'); 
      } else { 
          showmessage(L('pay_failed'),APP_PATH.'index.php?m=pay&c=deposit'); 
      } 
  } else { 
      showmessage(L('pay_success')); 
  }
}

添加后的代碼,截圖示例如下:

1574303703861302.jpg

3、然后,將修改好的文件,上傳到服務(wù)器對(duì)應(yīng)文件位置,直接覆蓋;

4、最后,登錄阿里云后臺(tái),點(diǎn)擊驗(yàn)證(截圖如下),即可完成漏洞修復(fù)。

1574303726283797.jpg

以上就是關(guān)于“phpcms v9寬字節(jié)注入問題”漏洞修復(fù)的全部內(nèi)容。

PHP中文網(wǎng),大量的免費(fèi)PHPCMS教程,歡迎在線學(xué)習(xí)!

以上是PHPCMS漏洞之v9寬字節(jié)注入問題的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章!

本站聲明
本文內(nèi)容由網(wǎng)友自發(fā)貢獻(xiàn),版權(quán)歸原作者所有,本站不承擔(dān)相應(yīng)法律責(zé)任。如您發(fā)現(xiàn)有涉嫌抄襲侵權(quán)的內(nèi)容,請(qǐng)聯(lián)系admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費(fèi)脫衣服圖片

Undresser.AI Undress

Undresser.AI Undress

人工智能驅(qū)動(dòng)的應(yīng)用程序,用于創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用于從照片中去除衣服的在線人工智能工具。

Clothoff.io

Clothoff.io

AI脫衣機(jī)

Video Face Swap

Video Face Swap

使用我們完全免費(fèi)的人工智能換臉工具輕松在任何視頻中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費(fèi)的代碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

功能強(qiáng)大的PHP集成開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網(wǎng)頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級(jí)代碼編輯軟件(SublimeText3)

熱門話題

Laravel 教程
1600
29
PHP教程
1502
276
Java中的緩沖區(qū)溢出漏洞及其危害 Java中的緩沖區(qū)溢出漏洞及其危害 Aug 09, 2023 pm 05:57 PM

Java中的緩沖區(qū)溢出漏洞及其危害緩沖區(qū)溢出是指當(dāng)我們向一個(gè)緩沖區(qū)寫入超過其容量的數(shù)據(jù)時(shí),會(huì)導(dǎo)致數(shù)據(jù)溢出到其他內(nèi)存區(qū)域。這種溢出行為常常被黑客利用,可以導(dǎo)致代碼執(zhí)行異常、系統(tǒng)崩潰等嚴(yán)重后果。本文將介紹Java中的緩沖區(qū)溢出漏洞及其危害,同時(shí)給出代碼示例以幫助讀者更好地理解。Java中廣泛使用的緩沖區(qū)類有ByteBuffer、CharBuffer、ShortB

如何解決PHP語言開發(fā)中常見的文件上傳漏洞? 如何解決PHP語言開發(fā)中常見的文件上傳漏洞? Jun 10, 2023 am 11:10 AM

在Web應(yīng)用程序的開發(fā)中,文件上傳功能已經(jīng)成為了基本的需求。這個(gè)功能允許用戶向服務(wù)器上傳自己的文件,然后在服務(wù)器上進(jìn)行存儲(chǔ)或處理。然而,這個(gè)功能也使得開發(fā)者更需要注意一個(gè)安全漏洞:文件上傳漏洞。攻擊者可以通過上傳惡意文件來攻擊服務(wù)器,從而導(dǎo)致服務(wù)器遭受不同程度的破壞。PHP語言作為廣泛應(yīng)用于Web開發(fā)中的語言之一,文件上傳漏洞也是常見的安全問題之一。本文將介

phpcms怎么跳轉(zhuǎn)到詳情頁 phpcms怎么跳轉(zhuǎn)到詳情頁 Jul 27, 2023 pm 05:23 PM

phpcms跳轉(zhuǎn)到詳情頁方法:1、使用header函數(shù)來生成跳轉(zhuǎn)鏈接;2、循環(huán)遍歷內(nèi)容列表;3、獲取內(nèi)容的標(biāo)題和詳情頁鏈接;4、生成跳轉(zhuǎn)鏈接即可。

20步內(nèi)越獄任意大模型!更多'奶奶漏洞”全自動(dòng)發(fā)現(xiàn) 20步內(nèi)越獄任意大模型!更多'奶奶漏洞”全自動(dòng)發(fā)現(xiàn) Nov 05, 2023 pm 08:13 PM

不到一分鐘、不超過20步,任意繞過安全限制,成功越獄大型模型!而且不必知道模型內(nèi)部細(xì)節(jié)——只需要兩個(gè)黑盒模型互動(dòng),就能讓AI全自動(dòng)攻陷AI,說出危險(xiǎn)內(nèi)容。聽說曾經(jīng)紅極一時(shí)的“奶奶漏洞”已經(jīng)被修復(fù)了:如今,面對(duì)“偵探漏洞”、“冒險(xiǎn)家漏洞”和“作家漏洞”,人工智能應(yīng)該采取何種應(yīng)對(duì)策略呢?一波猛攻下來,GPT-4也遭不住,直接說出要給供水系統(tǒng)投毒只要……這樣那樣。關(guān)鍵這只是賓夕法尼亞大學(xué)研究團(tuán)隊(duì)曬出的一小波漏洞,而用上他們最新開發(fā)的算法,AI可以自動(dòng)生成各種攻擊提示。研究人員表示,這種方法相比于現(xiàn)有的

Java中的逗號(hào)運(yùn)算符漏洞和防護(hù)措施 Java中的逗號(hào)運(yùn)算符漏洞和防護(hù)措施 Aug 10, 2023 pm 02:21 PM

Java中的逗號(hào)運(yùn)算符漏洞和防護(hù)措施概述:在Java編程中,我們經(jīng)常使用逗號(hào)運(yùn)算符來同時(shí)執(zhí)行多個(gè)操作。然而,有時(shí)候我們可能會(huì)忽略逗號(hào)運(yùn)算符的一些潛在漏洞,這些漏洞可能導(dǎo)致意外的結(jié)果。本文將介紹Java中逗號(hào)運(yùn)算符的漏洞,并提供相應(yīng)的防護(hù)措施。逗號(hào)運(yùn)算符的用法:逗號(hào)運(yùn)算符在Java中的語法為expr1,expr2,可以說是一種序列運(yùn)算符。它的作用是先計(jì)算ex

OpenAI DALL-E 3 模型存生成'不當(dāng)內(nèi)容”漏洞,一微軟員工上報(bào)后反遭'封口令” OpenAI DALL-E 3 模型存生成'不當(dāng)內(nèi)容”漏洞,一微軟員工上報(bào)后反遭'封口令” Feb 04, 2024 pm 02:40 PM

2月2日消息,微軟軟件工程部門經(jīng)理ShaneJones最近發(fā)現(xiàn)OpenAI旗下的DALL-E3模型存在漏洞,據(jù)稱可以生成一系列不適宜內(nèi)容。ShaneJones向公司上報(bào)了該漏洞,但卻被要求保密。然而,他最終還是決定向外界披露了這個(gè)漏洞?!鴪D源ShaneJones對(duì)外披露的報(bào)告本站注意到,ShaneJones在去年12月通過獨(dú)立研究發(fā)現(xiàn)OpenAI文字生成圖片的DALL-E3模型存在一項(xiàng)漏洞。這個(gè)漏洞能夠繞過AI護(hù)欄(AIGuardrail),導(dǎo)致生成一系列NSFW不當(dāng)內(nèi)容。這個(gè)發(fā)現(xiàn)引起了廣泛關(guān)注

phpcms是什么框架 phpcms是什么框架 Apr 20, 2024 pm 10:51 PM

PHP CMS 是一種基于 PHP 的開源內(nèi)容管理系統(tǒng),用于管理網(wǎng)站內(nèi)容,其特點(diǎn)包括易用性、強(qiáng)大功能、可擴(kuò)展性、安全性高和免費(fèi)開源。它可以節(jié)省時(shí)間、提升網(wǎng)站質(zhì)量、增強(qiáng)協(xié)作并降低開發(fā)成本,廣泛應(yīng)用于新聞網(wǎng)站、博客、企業(yè)網(wǎng)站、電子商務(wù)網(wǎng)站和社區(qū)論壇等各種網(wǎng)站。

微信登錄集成指南:PHPCMS實(shí)戰(zhàn) 微信登錄集成指南:PHPCMS實(shí)戰(zhàn) Mar 29, 2024 am 09:18 AM

標(biāo)題:微信登錄集成指南:PHPCMS實(shí)戰(zhàn)在今天的互聯(lián)網(wǎng)時(shí)代,社交化登錄已經(jīng)成為網(wǎng)站必備的功能之一。微信作為國內(nèi)最流行的社交平臺(tái)之一,其登錄功能也被越來越多的網(wǎng)站所采用。本文將介紹如何在PHPCMS網(wǎng)站中集成微信登錄功能,并提供具體的代碼示例。第一步:注冊(cè)微信開放平臺(tái)賬號(hào)首先,我們需要在微信開放平臺(tái)上注冊(cè)一個(gè)開發(fā)者賬號(hào),申請(qǐng)相應(yīng)的開發(fā)權(quán)限。登錄[微信開放平臺(tái)]

See all articles