织梦media_add.php上传漏洞完整生产加固:47步+7类方案
保哥实战处置织梦media_add.php任意上传漏洞,从入侵痕迹判定、黑名单方案不足、白名单加固代码、nginx禁止uploads执行PHP的纵深防御,到全站排查清单与9个同类入口同步加固方法。
标签
Web安全
保哥笔记「Web安全」标签收录 3 篇相关内容,含《织梦media_add.php上传漏洞完整生产加固:》《DedeCMS会员中心mtypes.php SQL注》《ECShop shophelp.php注入修复实战指》等,提供 SEO/GEO 视角的深度解析。
-
-
DedeCMS会员中心mtypes.php SQL注入漏洞修复深析:数组键名注入根因、intval补丁与系统化排查
DedeCMS /member/mtypes.php 在 2014-2018 年披露的 SQL 注入漏洞(CVE-2018-9134)通过表单数组键名注入恶意 SQL,能改任意管理员密码或写 webshell。本文从数组键名直拼 SQL 的根因讲透补丁中 intval(id) 为什么是关键、HtmlReplace 为何防不住 SQL、同文件 DELETE 段是否需要补、用 grep 系统化扫整套 DedeCMS 的同类漏洞、PDO 预处…
-
ECShop shophelp.php注入修复实战指南:6步+60案例完整方案
ECshop /admin/shophelp.php第81/105/133/155行的$_POST id整型注入是2.7.x到3.x所有老站的标配漏洞,攻击者只要拿到任何后台账号就能拖走ecs_admin_user哈希。本文用本地Docker复现+sqlmap自动化验证,给出最小修补、严格校验、参数化查询三套方案,附7个文件的全后台审计清单与客户V勒索事件复盘。