阿里云服务器

1.使用阿里云服务器，选择的centos版本，首先安装g++ 4.8.5 yum install gcc-c++ 2.写个小程序测试一下： #include "iostream&q

 1.环境选择：VMware阿里云服务器 2.Linux版本选择：CentOS 7 3.权限账户：root    1./bin：b…

dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法：补丁文件：/include/common.inc.php漏洞描述：dedecms的/plus/advancedsearch.php中，直接从SESSION[SESSION[sqlhash]获取值作为$query带入SQL查询，这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话，云盾团队在dedemcs的变量注册入口进行了通用统一防御，禁止SESSION变量的传入dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决方法1、搜索如下代码（68行）：if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )2、替换 68 行代码，替换代码如下：if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)#',$svar) )修改前请备份好文件，将新的/include/common.inc.php 文件上传替换阿里云服务器上的即可解决此问题。

阿里云服务器media_add.php dedecms后台文件任意上传漏洞的解决方案dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格的限制，这导致了黑客可以上传WEBSHELL，获取网站后台权限登博教程为大家分享：阿里云服务器media_add.php dedecms后台文件任意上传漏洞修复方法，主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。
搜索$fullfilename = $cfg_basedir.$filename;(大概在69行左右)
替换成
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止！",'java script:;'); exit(); } $fullfilename = $cfg_basedir.$filename;登博教程提醒：修改文件前请做好文件备份。将新的media_add.php 文件上传替换阿里云服务器上即可解决此问题。