网站漏洞检测 我的网站有漏洞了 程序是织梦的
发布网友
发布时间:2022-04-27 04:24
共4个回答
热心网友
时间:2022-04-11 10:44
目标存在全局变量覆盖漏洞。
1.受影响版本DEDECMS 5.7、5.6、5.5。
2.漏洞文件/include/common.inc.php
3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。
漏洞危害:
1.黑客可以通过此漏洞来重定义数据库连接
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门
解决方案:
临时解决方案:
在 /include/common.inc.php 中
找到注册变量的代码
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}
修改为
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) {
if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
exit('Request var not allow!');
}
${$_k} = _RunMagicQuotes($_v);
}
}
如果是以前的老版本的请升级成官方新不版本。追问你那个方法只是暂时的 有没有一次性的解决也
热心网友
时间:2022-04-11 12:02
而我们一般在写robots.txt文件的时候,都会把程序目录写进行,为了屏蔽搜索引擎蜘蛛爬行。但是这样的话容易暴露自己的敏感目录名。
解决方案:写robots.txt规则的时候,将敏感目录模糊化,用一些规则去写。比如:Disallow: /dede/可以写成Disallow: /d*/等。
热心网友
时间:2022-04-11 13:37
2、网站漏洞不要惊慌,随着网络技术的发展很多网站程序都会暴漏出漏洞来,而且有漏洞并不一定会被攻击而已。
3、网站应该有相应的预案,在出现问题的时候能最快的恢复网站的正常运营。
4、最好购买正规的服务器,比如阿里云和腾讯云,这种有强大的安全防范的服务器。
热心网友
时间:2022-04-11 15:28
大部分robots.txt都定义了网站的后台登陆地址 或者 数据库地址等 ,建议删除!追问第二个我已经解决 我要的是第一种!!详细告诉我好吗 大哥
