网站漏洞检测 我的网站有漏洞了 程序是织梦的
漏洞等级漏洞名称漏洞危害漏洞详情存在漏洞的网页地址高危DedeCms全局变量覆盖漏洞1.黑客可以通过此漏洞来重定义数据库连接。漏洞说明提示发现robots.txt文件ro...
漏洞等级 漏洞名称 漏洞危害 漏洞详情 存在漏洞的网页地址
高危 DedeCms全局变量覆盖漏洞 1.黑客可以通过此漏洞来重定义数据库连接。
漏洞说明
提示 发现robots.txt文件 robots.txt文件有可能泄露系统中的敏感信息,如后台地址或者不愿意对外公开的地址等,恶意攻击者有可能利用这些信息实施进一步的攻击。
漏洞说明
这个该怎么解决 详细点 展开
高危 DedeCms全局变量覆盖漏洞 1.黑客可以通过此漏洞来重定义数据库连接。
漏洞说明
提示 发现robots.txt文件 robots.txt文件有可能泄露系统中的敏感信息,如后台地址或者不愿意对外公开的地址等,恶意攻击者有可能利用这些信息实施进一步的攻击。
漏洞说明
这个该怎么解决 详细点 展开
4个回答
展开全部
DedeCms全局变量覆盖漏洞描述:
目标存在全局变量覆盖漏洞。
1.受影响版本DEDECMS 5.7、5.6、5.5。
2.漏洞文件/include/common.inc.php
3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。
漏洞危害:
1.黑客可以通过此漏洞来重定义数据库连接
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门
解决方案:
临时解决方案:
在 /include/common.inc.php 中
找到注册变量的代码
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}
修改为
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) {
if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
exit('Request var not allow!');
}
${$_k} = _RunMagicQuotes($_v);
}
}
如果是以前的老版本的请升级成官方新不版本。
目标存在全局变量覆盖漏洞。
1.受影响版本DEDECMS 5.7、5.6、5.5。
2.漏洞文件/include/common.inc.php
3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。
漏洞危害:
1.黑客可以通过此漏洞来重定义数据库连接
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门
解决方案:
临时解决方案:
在 /include/common.inc.php 中
找到注册变量的代码
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}
修改为
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) {
if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
exit('Request var not allow!');
}
${$_k} = _RunMagicQuotes($_v);
}
}
如果是以前的老版本的请升级成官方新不版本。
追问
你那个方法只是暂时的 有没有一次性的解决也
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
robots.txt文件本身没有什么漏洞,她是告诉搜索引擎蜘蛛哪些文件可以爬行,哪些不可以爬行。
而我们一般在写robots.txt文件的时候,都会把程序目录写进行,为了屏蔽搜索引擎蜘蛛爬行。但是这样的话容易暴露自己的敏感目录名。
解决方案:写robots.txt规则的时候,将敏感目录模糊化,用一些规则去写。比如:Disallow: /dede/可以写成Disallow: /d*/等。
而我们一般在写robots.txt文件的时候,都会把程序目录写进行,为了屏蔽搜索引擎蜘蛛爬行。但是这样的话容易暴露自己的敏感目录名。
解决方案:写robots.txt规则的时候,将敏感目录模糊化,用一些规则去写。比如:Disallow: /dede/可以写成Disallow: /d*/等。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
1、网站有漏洞应该尽快去织梦官方网站对程序进行相应的更新。
2、网站漏洞不要惊慌,随着网络技术的发展很多网站程序都会暴漏出漏洞来,而且有漏洞并不一定会被攻击而已。
3、网站应该有相应的预案,在出现问题的时候能最快的恢复网站的正常运营。
4、最好购买正规的服务器,比如阿里云和腾讯云,这种有强大的安全防范的服务器。
2、网站漏洞不要惊慌,随着网络技术的发展很多网站程序都会暴漏出漏洞来,而且有漏洞并不一定会被攻击而已。
3、网站应该有相应的预案,在出现问题的时候能最快的恢复网站的正常运营。
4、最好购买正规的服务器,比如阿里云和腾讯云,这种有强大的安全防范的服务器。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
删除掉robots文件
大部分robots.txt都定义了网站的后台登陆地址 或者 数据库地址等 ,建议删除!
大部分robots.txt都定义了网站的后台登陆地址 或者 数据库地址等 ,建议删除!
追问
第二个我已经解决 我要的是第一种!!详细告诉我好吗 大哥
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(2)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
|
广告 您可能关注的内容 |
