国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

首頁 CMS教程 PHPCMS PHPCMS漏洞之v9寬位元組注入問題

PHPCMS漏洞之v9寬位元組注入問題

Nov 21, 2019 am 10:43 AM
phpcms 漏洞

PHPCMS漏洞之v9寬位元組注入問題

關(guān)于阿里云提示“phpcms v9寬字節(jié)注入問題”的漏洞修復(fù)方案

簡介:
漏洞名稱:phpcms v9寬字節(jié)注入問題
補(bǔ)丁文件:www/phpcms/modules/pay/respond.php
補(bǔ)丁來源:云盾自研
漏洞描述:phpcmsv9.5.9以后版本開始默認(rèn)使用mysqli支持,在phpcms/modules/pay/respond.php中,因?yàn)榇a邏輯不夠嚴(yán)謹(jǐn),
導(dǎo)致寬字節(jié)注入?!咀⒁猓涸撗a(bǔ)丁為云盾自研代碼修復(fù)方案,云盾會(huì)根據(jù)您當(dāng)前代碼是否符合云盾自研的修復(fù)模式進(jìn)行檢測,
如果您自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案,可能會(huì)導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞,云盾依然報(bào)告存在
漏洞,遇到該情況可選擇忽略該漏洞提示】
…
阿里云漏洞提示。

解決辦法:

1、打開www/phpcms/modules/pay/respond.php,代碼第14行左右;

2、找到respond_get()替換成下面的代碼,代碼如下:

public function respond_get() { 
 if ($_GET['code']){ 
      $code = mysql_real_escape_string($_GET['code']);//注意修改
      $payment = $this->get_by_code($code);//注意修改
      if(!$payment) showmessage(L('payment_failed')); 
      $cfg = unserialize_config($payment['config']); 
      $pay_name = ucwords($payment['pay_code']); 
      pc_base::load_app_class('pay_factory','',0); 
      $payment_handler = new pay_factory($pay_name, $cfg); 
      $return_data = $payment_handler->receive(); 
      if($return_data) { 
          if($return_data['order_status'] == 0) {              
              $this->update_member_amount_by_sn($return_data['order_id']); 
          } 
          $this->update_recode_status_by_sn($return_data['order_id'],$return_data['order_status']); 
          showmessage(L('pay_success'),APP_PATH.'index.php?m=pay&c=deposit'); 
      } else { 
          showmessage(L('pay_failed'),APP_PATH.'index.php?m=pay&c=deposit'); 
      } 
  } else { 
      showmessage(L('pay_success')); 
  }
}

添加后的代碼,截圖示例如下:

PHPCMS漏洞之v9寬位元組注入問題

3、然后,將修改好的文件,上傳到服務(wù)器對應(yīng)文件位置,直接覆蓋;

4、最后,登錄阿里云后臺,點(diǎn)擊驗(yàn)證(截圖如下),即可完成漏洞修復(fù)。

PHPCMS漏洞之v9寬位元組注入問題

以上就是關(guān)于“phpcms v9寬字節(jié)注入問題”漏洞修復(fù)的全部內(nèi)容。

PHP中文網(wǎng),大量的免費(fèi)PHPCMS教程,歡迎在線學(xué)習(xí)!

以上是PHPCMS漏洞之v9寬位元組注入問題的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章!

本網(wǎng)站聲明
本文內(nèi)容由網(wǎng)友自願(yuàn)投稿,版權(quán)歸原作者所有。本站不承擔(dān)相應(yīng)的法律責(zé)任。如發(fā)現(xiàn)涉嫌抄襲或侵權(quán)的內(nèi)容,請聯(lián)絡(luò)admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費(fèi)脫衣圖片

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅(qū)動(dòng)的應(yīng)用程序,用於創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費(fèi)的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費(fèi)的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強(qiáng)大的PHP整合開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網(wǎng)頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

Java中的緩衝區(qū)溢位漏洞及其危害 Java中的緩衝區(qū)溢位漏洞及其危害 Aug 09, 2023 pm 05:57 PM

Java中的緩衝區(qū)溢位漏洞及其危害緩衝區(qū)溢位是指當(dāng)我們向一個(gè)緩衝區(qū)寫入超過其容量的資料時(shí),會(huì)導(dǎo)致資料溢位到其他記憶體區(qū)域。這種溢出行為常常被駭客利用,可以導(dǎo)致程式碼執(zhí)行異常、系統(tǒng)崩潰等嚴(yán)重後果。本文將介紹Java中的緩衝區(qū)溢位漏洞及其危害,同時(shí)給出程式碼範(fàn)例以幫助讀者更好地理解。 Java中廣泛使用的緩衝區(qū)類別有ByteBuffer、CharBuffer、ShortB

如何解決PHP語言開發(fā)常見的文件上傳漏洞? 如何解決PHP語言開發(fā)常見的文件上傳漏洞? Jun 10, 2023 am 11:10 AM

在Web應(yīng)用程式的開發(fā)中,文件上傳功能已經(jīng)成為了基本的需求。這個(gè)功能允許使用者向伺服器上傳自己的文件,然後在伺服器上進(jìn)行儲存或處理。然而,這個(gè)功能也使得開發(fā)者更需要注意一個(gè)安全漏洞:檔案上傳漏洞。攻擊者可以透過上傳??惡意檔案來攻擊伺服器,從而導(dǎo)致伺服器遭受不同程度的破壞。 PHP語言作為廣泛應(yīng)用於Web開發(fā)中的語言之一,檔案上傳漏洞也是常見的安全性問題之一。本文將介

phpcms怎麼跳到詳情頁 phpcms怎麼跳到詳情頁 Jul 27, 2023 pm 05:23 PM

phpcms跳到詳情頁方法:1、使用header函數(shù)來產(chǎn)生跳轉(zhuǎn)連結(jié);2、循環(huán)遍歷內(nèi)容清單;3、取得內(nèi)容的標(biāo)題和詳情頁連結(jié);4、產(chǎn)生跳轉(zhuǎn)連結(jié)即可。

20步內(nèi)越獄任意大模型!更多「奶奶漏洞」全自動(dòng)發(fā)現(xiàn) 20步內(nèi)越獄任意大模型!更多「奶奶漏洞」全自動(dòng)發(fā)現(xiàn) Nov 05, 2023 pm 08:13 PM

不到一分鐘、不超過20步,任意繞過安全限制,成功越獄大型模型!而且不必知道模型內(nèi)部細(xì)節(jié)-只需要兩個(gè)黑盒子模型互動(dòng),就能讓AI全自動(dòng)攻陷AI,說出危險(xiǎn)內(nèi)容。聽說曾經(jīng)紅極一時(shí)的“奶奶漏洞”已經(jīng)被修復(fù)了:如今,面對“偵探漏洞”、“冒險(xiǎn)家漏洞”和“作家漏洞”,人工智能應(yīng)該採取何種應(yīng)對策略呢?一波猛攻下來,GPT-4也遭不住,直接說出要給供水系統(tǒng)投毒只要…這樣那樣。關(guān)鍵這只是賓州大學(xué)研究團(tuán)隊(duì)曬出的一小波漏洞,而用上他們最新開發(fā)的演算法,AI可以自動(dòng)產(chǎn)生各種攻擊提示。研究人員表示,這種方法相比於現(xiàn)有的

Java中的逗號運(yùn)算子漏洞和防護(hù)措施 Java中的逗號運(yùn)算子漏洞和防護(hù)措施 Aug 10, 2023 pm 02:21 PM

Java中的逗號運(yùn)算子漏洞和防護(hù)措施概述:在Java程式設(shè)計(jì)中,我們經(jīng)常使用逗號運(yùn)算子來同時(shí)執(zhí)行多個(gè)操作。然而,有時(shí)我們可能會(huì)忽略逗號運(yùn)算子的一些潛在漏洞,這些漏洞可能導(dǎo)致意外的結(jié)果。本文將介紹Java中逗號運(yùn)算子的漏洞,並提供對應(yīng)的防護(hù)措施。逗號運(yùn)算子的用法:逗號運(yùn)算子在Java中的語法為expr1,expr2,可以說是一種序列運(yùn)算子。它的作用是先計(jì)算ex

OpenAI DALL-E 3 模型存產(chǎn)生'不當(dāng)內(nèi)容”漏洞,一微軟員工上報(bào)後反遭'封口令” OpenAI DALL-E 3 模型存產(chǎn)生'不當(dāng)內(nèi)容”漏洞,一微軟員工上報(bào)後反遭'封口令” Feb 04, 2024 pm 02:40 PM

2月2日消息,微軟軟體工程部門經(jīng)理ShaneJones最近發(fā)現(xiàn)OpenAI旗下的DALL-E3模型存在漏洞,據(jù)稱可以產(chǎn)生一系列不適合內(nèi)容。 ShaneJones向公司報(bào)了該漏洞,但卻被要求保密。然而,他最終還是決定向外界透露了這個(gè)漏洞。 ▲圖源ShaneJones對外揭露的報(bào)告本站注意到,ShaneJones在去年12月透過獨(dú)立研究發(fā)現(xiàn)OpenAI文字產(chǎn)生圖片的DALL-E3模型存在一項(xiàng)漏洞。這個(gè)漏洞能夠繞過AI護(hù)欄(AIGuardrail),導(dǎo)致產(chǎn)生一系列NSFW不當(dāng)內(nèi)容。這個(gè)發(fā)現(xiàn)引起了廣泛關(guān)注

phpcms是什麼框架 phpcms是什麼框架 Apr 20, 2024 pm 10:51 PM

PHP CMS 是一種基於 PHP 的開源內(nèi)容管理系統(tǒng),用於管理網(wǎng)站內(nèi)容,其特點(diǎn)包括易用性、強(qiáng)大功能、可擴(kuò)充性、安全性高和免費(fèi)開源。它可以節(jié)省時(shí)間、提升網(wǎng)站品質(zhì)、增強(qiáng)協(xié)作並降低開發(fā)成本,廣泛應(yīng)用於新聞網(wǎng)站、部落格、企業(yè)網(wǎng)站、電子商務(wù)網(wǎng)站和社群論壇等各種網(wǎng)站。

微信登入整合指南:PHPCMS實(shí)戰(zhàn) 微信登入整合指南:PHPCMS實(shí)戰(zhàn) Mar 29, 2024 am 09:18 AM

標(biāo)題:微信登入整合指南:PHPCMS實(shí)戰(zhàn)在今日的網(wǎng)路時(shí)代,社群化登入已成為網(wǎng)站必備的功能之一。微信作為國內(nèi)最受歡迎的社群平臺之一,其登入功能也被越來越多的網(wǎng)站所採用。本文將介紹如何在PHPCMS網(wǎng)站中整合微信登入功能,並提供具體的程式碼範(fàn)例。第一步:註冊微信開放平臺帳號首先,我們需要在微信開放平臺上註冊一個(gè)開發(fā)者帳號,申請對應(yīng)的開發(fā)權(quán)限。登入[微信開放平臺]

See all articles