清除dede漏洞,为金融平台等网站安全护航

解决办法:

plus/recommend.php 删除该文件,可以避免高危漏洞

原因:Dedecms recommend.php SQL注入漏洞

WASC Threat Classification

  • 发现时间:
  • 2014-06-26
  • 漏洞类型:
  • SQL注入
  • 所属建站程序:
  • DedeCMS
  • 所属服务器类型:
  • 通用
  • 所属编程语言:
  • PHP
  • 描述:
  • 目标存在SQL注入漏洞。

    1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。

    - 收起
    2.漏洞文件recommend.php,某处处理不当,导致绕过形成漏洞。

  • 危害:
  • 被SQL注入后可能导致以下后果:

    1.网页被篡改

    2.数据被篡改

    - 收起

    3. 核心数据被窃取

    4. 数据库所在服务器被攻击变成傀儡主机

  • 解决方案:
  • 升级至最新版确保其他漏洞也一并修复。
时间: 2024-10-10 12:32:51

清除dede漏洞,为金融平台等网站安全护航的相关文章

使用nikto漏洞扫描工具检测网站安全

如何使用Nikto漏洞扫描工具检测网站安全:http://trustsec.blog.51cto.com/305338/58675/ Nikto:http://baike.baidu.com/link?url=pGsl4o3DSTJHIoDT39lidhV6i6yzCxG_djbRcKZY9Wy8tnZj29kzK62S0yGqvZnwTv6upXbX4vrPhgfqOQPqcq

dede 漏洞攻击

一.dedecms找后台 1.include/dialog/select_soft.php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理 员帐号,新版本的就直接转向了后台. 2.include/dialog/config.php会爆出后台管理路径 3.include/dialog/select_soft.php?activepath=/include/FCKeditor 跳转目录 4.include/dialog/select_soft.php?activepa

MetInfo最新网站漏洞如何修复以及网站安全防护

metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞,可以直接拿到网站管理员的权限,网站漏洞影响范围较广,包括目前最新的metinfo版本都会受到该漏洞的***,该metinfo漏洞产生的主要原因是可以绕过metinfo的安全过滤函数,导致可以直接插入恶意的sql注入语句执行到网站的后端里去,在数据库里执行管理员操作的一些功能,甚至可以直接sql注入到首页文件index.php去获取到管理员的账号密码,进而登录后台去拿到整个网站的权限. metinfo程序企业网站被***的症状是首

怎么修复网站漏洞 骑士cms的漏洞修复方案

骑士CMS是国内公司开发的一套开源人才网站系统,使用PHP语言开发以及mysql数据库的架构,2019年1月份被某安全组织检测出漏洞,目前最新版本4.2存在高危网站漏洞,通杀SQL注入漏洞,利用该网站漏洞可以获取网站的管理员账号密码以及用户账号信息. 目前很多人才网站都使用的骑士CMS系统,受影响的网站较多,关于该网站漏洞的详情我们来详细的分析一下.骑士cms4.2最新版本使用了thinkphp的架构,底层的核心基础代码都是基于thinkphp的开发代码,有些低于4.2版本的网站系统都会受到漏洞

教大家一个方法如何看自己的网站代码中有没有漏洞,特简单的工具可以用来测试

近来很多网站受到了各种各样形式的攻击,黑客攻击的动机各不一样,黑客人攻击的目标也有不确定性,作为一家企业的网管.或CEO您是否担心您的网站也遭受同样的命运呢? 什么样的站点容易被黑客入侵呢? 有人说,我做人低调点,不得罪人,自然没人黑我了.其实,就算你没有竞争对手雇佣人黑你,也会有好奇的或者练习技术的无聊黑客想入侵您的站一探究竟的. 所以,什么样的站容易被黑客入侵.不是坏人的站,而是有漏洞的网站. 不论您的站是动态的网站,比如asp.php.jsp 这种形式的站点,还是静态的站点,都存在被入侵的

PHP网站常见安全漏洞及相应防范措施总结

目前,基于PHP的网站开发已经成为目前网站开发的主流,本文笔者重点从PHP网站攻击与安全防范方面进行探究,旨在减少网站漏洞,希望对大家有所帮助! 一.常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种.分别是Session文件漏洞.SQL注入漏洞.脚本命令执行漏洞.全局变量漏洞和文件漏洞.这里分别对这些漏洞进行简要的介绍. 1.session文件漏洞 Session攻击是黑客最常用到的攻击手段之一.当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了S

互联网安全锁现大漏洞 网友建议:不要登录一切网银电商网站

2014.04.11 22:19:51 来源:南方日报作者:南方日报 ( 2 条评论 )  http://www.techweb.com.cn/internet/2014-04-11/2027049.shtml 昨日,被称为"心脏出血"的OpenSSL协议安全漏洞引发了人们对网上支付的担忧.传言称,这个漏洞"波及几乎所有网站",用户"不登录还好,一登录网站就有可能导致用户名和密码失窃".截至昨日18时12分,百度搜索关键词"OpenSS

DEDE网站地图优化技巧

DEDE网站地图优化技巧-把网站地图生成在系统根目录,利于搜索引擎收录相信 恨多用DEDECMS做站的朋友,为避免将data目录内的东西随便外泄,在robots中将data目录屏蔽了,但是DEDE默认的网站地图却是在 data下,屏蔽掉这个文件夹的话搜索引擎就无法抓取到网站地图,这不利于SEO优化,那么有没有好的方法呢,让DEDE生成的网站地图放在系统根目录下 面.答案肯定是有的,下面我就给大家介绍一下DEDE网站地图优化方法. 演示地址 http://www.jfwo.org 下面是详细的步骤

新型SSL/TLS漏洞:FREAK(“疯怪”) 36%网站受到影响

最近安全研究人员发现一种新型SSL/TLS漏洞,漏洞编号为CVE-2015-0204,该漏洞被称为FREAK(疯怪).漏洞的名称取自于"RSA_EXPORT素数攻击"的英文首字母(Factoring attack on RSA-EXPORT Keys).通过它,攻击者将得以实施中间人窃听攻击.该漏洞危及到大量网站.苹果的Safari浏览器.谷歌的Android操作系统,以及使用早于1.0.1k版本的OpenSSL的用户. 预计在十年内,数以百万计的苹果.安卓用户访问HTTPS网站时将可