dedecms的文章揭晓表单中走漏了用于防御CSRF的焦点cookie,同时在其他焦点支付系统也使用了同样的cookie举行验证,黑客可使用走漏的cookie通事后台验证,举行后台注入。
打开文件member/inc/inc_archives_functions.php,找到以下代码,(或许在239行)
if ($isprint) echo “\\r\\n”;echo ““; |
替换成:
if ($isprint) echo “\\r\\n”;echo “<input type=\\\"hidden\\\" name=\\\"dede_fieldshash\\\" value=\\\"\". md5($dede_addonfields.‘anythingelse’.$cfg_cookie_encode) .”\\” />”; |
红色:’anythingelse’ 为增添的代码。
本文收集自网络,由本站搜集发布,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系本站核实处理。如需转载,请注明文章来源。
© 版权声明
THE END