DedeCMS留言板SQL注入1行addslashes修复实战
织梦DedeCMS plus/guestbook/edit.inc.php留言板SQL注入的实战修复笔记:定位代码、加addslashes、curl黑盒验证、WAF与fail2ban叠加防护,覆盖V5.7全系列站点。
标签
织梦漏洞
保哥笔记 织梦漏洞 标签下共 10 篇文章合集,含《DedeCMS留言板SQL注入1行addslashe》《织梦media_add.php任意上传漏洞怎么加固?》《织梦uploadsafe.inc.php上传漏洞怎么》等,与 DedeCMS安全、SQL注入、DedeCMS 主题密切相关,覆盖 SEO/GEO 实战角度的深度解析与可落地方案。
-
-
织梦media_add.php任意上传漏洞怎么加固?纵深防御实战
保哥实战处置织梦media_add.php任意上传漏洞,从入侵痕迹判定、黑名单方案不足、白名单加固代码、nginx禁止uploads执行PHP的纵深防御,到全站排查清单与9个同类入口同步加固方法。
-
织梦uploadsafe.inc.php上传漏洞怎么加固?五项校验实战
DedeCMS的uploadsafe.inc.php在2010-2022年陆续披露5种绕过方式,仅靠扩展名白名单已挡不住双扩展名、EXIF注入、SVG含script、multipart畸形、编码绕过。保哥过去4年处理过6个被入侵的客户站,本文给出五层纵深防御与全站审计动作。
-
织梦article_add Cookie泄漏SQL注入:五道防线修复
DedeCMS会员中心article_add.php的dede_fieldshash校验是单纯md5,攻击者只要在Cookie里拿到合法的dede_fields样本就能任意构造哈希绕过。保哥过去4年帮9个被打的客户做过修复,本文给出五道纵深防线:HMAC风格的md5加salt、参数化查询、输入过滤、横向扫所有会员入口、Nginx WAF兜底,附某技术站5天入侵响应实录。
-
DedeCMS pm.php注入怎么修?CVE-2018-9134加参数化查询
DedeCMS 会员中心 pm.php 的 CVE-2018-9134 注入至今仍是脱库主入口。本文从源码层讲清漏洞成因(intval 缺失),给出最小补丁、PDO 参数化查询、ModSecurity WAF 兜底三层修复,并扩展到全站注入点审计、bcrypt 密码升级、被脱库后的应急响应流程。
-
DedeCMS会员中心mtypes.php SQL注入漏洞修复深析:数组键名注入根因、intval补丁与系统化排查
DedeCMS /member/mtypes.php 在 2014-2018 年披露的 SQL 注入漏洞(CVE-2018-9134)通过表单数组键名注入恶意 SQL,能改任意管理员密码或写 webshell。本文从数组键名直拼 SQL 的根因讲透补丁中 intval(id) 为什么是关键、HtmlReplace 为何防不住 SQL、同文件 DELETE 段是否需要补、用 grep 系统化扫整套 DedeCMS 的同类漏洞、PDO 预处…
-
织梦Cookie泄漏SQL注入漏洞怎么修?保哥落地版加收尾清单
DedeCMS的inc_archives_functions.php第239行用md5加cfg_cookie_encode生成的dede_fieldshash因为算法可逆形同虚设,攻击者从前台公开页面就能反推出会员加密密钥并打通SQL注入。本文给出从断网取证到代码修复、再到收尾清单的完整实战方案,含5个真实踩坑记录与长期迁移决策建议。
-
DedeCMS恶意文件删除漏洞修补实战:47步排查+完整应急方案
DedeCMS v5.7的archives_check_edit.php任意文件删除漏洞CVE-2018-9123的完整修补方案:标准补丁加加强版补丁、四步验证流程、WAF规则、chattr加i不可删除属性、入侵响应SOP。
-
DedeCMS soft_add.php注入漏洞怎么修?三层防御加事故响应
DedeCMS soft_add.php模板注入漏洞完整修补方案:三层防御代码、整个member目录加固、被GETSHELL后的事故响应流程、Nginx WAF规则、PHP open_basedir限制和文件完整性监控脚本。
-
DedeCMS会员相册SQL注入1行intval修复实战
织梦member/album_add.php会员相册脚本mtypesid参数SQL注入实战修复指南:定位代码行、加intval、回归验证、Nginx WAF叠加防护,覆盖DedeCMS 5.7全系。
