你静候着秋天的温柔,留我在风景之外。把眼睛留给风光,把体重留给美食。我坐在椅子上,看日出复活;我坐在夕阳里,看城市的衰落。
dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。
打开文件/member/soft_add.php,搜索(大概在154行):
$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
|
替换为:
if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) {
$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
}
|
本文dedecms模版soft_add.phpSQL注入漏洞修复方法到此结束。只要认为是对的就去做,坚持去做,不要在乎别人的看法,哪怕是错,至少你有去做过证明曾经你努力过。小编再次感谢大家对我们的支持!