黑帽联盟

标题: 防范 dedecms 广告内容插入后门 [打印本页]
作者: yun    时间: 2017-1-1 21:17
标题: 防范 dedecms 广告内容插入后门
dedecms广告内容没有做限制,可以输入脚本信息,并写入文件,导致木马植入!

此补丁,是防止广告里带PHP脚本并写入文件!

dedecms安全

核心代码:

ad_js.php
  1. //禁止写入和PHP脚本有关字符信息
  2. //==========================================================================
  3. if ((strripos($adbody,"=0)||(strripos($adbody,"{dede:php}")>=0)||(strripos($adbody,"php")>=0))
  4. {die("document.write('禁止生成广告,可能存在风险!');");}
  5. //==========================================================================
复制代码
mytag_js.php


代码如下:
  1. //禁止写入和PHP脚本有关字符信息
  2. //==========================================================================
  3. if ((strripos($myvalues,"=0)||(strripos($myvalues,"php")>=0))
  4. {die("document.write('禁止生成广告,可能存在风险!');");}
  5. //==========================================================================
复制代码
使用方法:



ad_js.php
mytag_js.php

2个文件解压到plug目录中覆盖原文件就可以了!

建议覆盖后,再下载 D盾_Web查杀 进行一次全部的查杀,防止以前留下的后门!查杀时请选择
查杀全部文件,因为这些后门是 .htm 或 .inc 等扩展方式隐藏着!

打包下载: dedecms_stop_php_ad.rar (4.83 KB, 下载次数: 11)



欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) Powered by Discuz! X2.5