织梦media_add.php任意上传漏洞怎么加固?纵深防御实战
保哥实战处置织梦media_add.php任意上传漏洞,从入侵痕迹判定、黑名单方案不足、白名单加固代码、nginx禁止uploads执行PHP的纵深防御,到全站排查清单与9个同类入口同步加固方法。
标签
Web安全
保哥笔记 Web安全 标签下共 3 篇文章合集,含《织梦media_add.php任意上传漏洞怎么加固?》《DedeCMS会员中心mtypes.php SQL注》《ECShop shophelp.php注入漏洞怎么修》等,与 SQL注入、织梦漏洞、ECShop 主题密切相关,覆盖 SEO/GEO 实战角度的深度解析与可落地方案。
-
-
DedeCMS会员中心mtypes.php SQL注入漏洞修复深析:数组键名注入根因、intval补丁与系统化排查
DedeCMS /member/mtypes.php 在 2014-2018 年披露的 SQL 注入漏洞(CVE-2018-9134)通过表单数组键名注入恶意 SQL,能改任意管理员密码或写 webshell。本文从数组键名直拼 SQL 的根因讲透补丁中 intval(id) 为什么是关键、HtmlReplace 为何防不住 SQL、同文件 DELETE 段是否需要补、用 grep 系统化扫整套 DedeCMS 的同类漏洞、PDO 预处…
-
ECShop shophelp.php注入漏洞怎么修?6步堵住并验证
ECshop /admin/shophelp.php第81/105/133/155行的$_POST id整型注入是2.7.x到3.x所有老站的标配漏洞,攻击者只要拿到任何后台账号就能拖走ecs_admin_user哈希。本文用本地Docker复现+sqlmap自动化验证,给出最小修补、严格校验、参数化查询三套方案,附7个文件的全后台审计清单与客户V勒索事件复盘。
