phpcms读取文件漏洞解决办法
phpcms存在的高危漏洞就是一旦进去就可以对您网站任意文件读取,包括数据库文件,那么这个是最致命的,只要拿到这个文件之后那么就可以对数据库进行操作了,因为他已经拿到了数据库的用户名与密码。
一旦被泄露之后,那么你的网站会发生下面这些问题:1、数据库被黑2、网页被挂黑3、被上传大量广告而主要是这个文件里面的代码导致的:网站根目录/phpcms/modules/search/index.php,这个是文件读取的漏洞。
文件位置如下:
代码如下:
public function public_get_suggest_keyword() {
$url = $_GET['url'].'&q='.$_GET['q'];
$res = @file_get_contents($url);
if(CHARSET != 'gbk') {
$res = iconv('gbk', CHARSET, $res);
}
echo $res;
}这段代码的意思是可以利用里面的值获取权限从而得到文件的信息。
所以说为了这个的方法,phpcms官方也做出了相应的改善,就得到了我们最新版本的phpcms版本。
解决办法如下:1、在没有2次开发的情况下升级最新的phpcms。2、如果有2次开发那么用下面这段修改成下面这段代码:
public function public_get_suggest_keyword() {
$url = $_GET['url'].'&q='.$_GET['q'];
$trust_url = array('c8430fcf851e85818b546addf5bc4dd3');
$urm_md5 = md5($url);
if (!in_array($urm_md5, $trust_url)) exit;
$res = @file_get_contents($url);
if(CHARSET != 'gbk') {
$res = iconv('gbk', CHARSET, $res);
}
echo $res;
} 本文出自:琅枫个人博客。如需转载请注明出处!
本文出处:"https://www.langfujun.top/learn/php/142.html"
如果您觉得文章对你有帮助,可以进行打赏。
打赏多少,您高兴就行,谢谢您对琅枫博客的支持! ~(@^_^@)~
微信打赏
支付宝打赏
