搜索
CopyRight 2012-2014 DS文库版权所有
Thinkphp网站漏洞怎么修复解决
(0 次评价)25 人阅读0 次下载

 THINKPHP 漏洞修复 , 官方于近日,对现有的 thinkphp5.0 到 5.1 所有版本进行了升级,以及补丁更新, 这次更新主要是进行了一些漏洞修复,最严重的就是之前存在的 SQL 注入漏洞,以及远程代码执行 查询系统的漏洞都进行了修复,官方本以为没有问题了,但是在实际的安全检测当中发现,还是存在 问题,还是可以远程代码进行注入,插入非法字符,提交到服务器后端中去。 关于这次发现的 oday 漏洞,我们来看下官方之前更新的代码文件是怎么样的,更新的程序文件路径 是 library 文件夹下的 think 目录里的 app.php ,如 下图: 漏洞产生的原因就在于这个控制器这里,整个 thinkphp 框架里的功能对控制器没有进行严格的安全 过滤于检查,使攻击者可以伪造恶意参数进行强制插入,最根本的原因就是正则的表达式写的不好, 导致可以绕过。 在 controller 获取控制器后,直接进行赋值,但是并没有对控制器的名进行严格的检测,导致可以使 用斜杠等特殊符号来远程代码注入。

打分:

0 星

用户评论:

文库网-行业文库行业文档的在线分享平台

网站简介:行业文库网隶属于易淘资源旗下全站专业运营网站,打造国内最大最全面最专业的行业数据平台。 网站声明:本站所有资源由网友用户提供或从互联网收集所得,版权归原作者所有。如果侵犯了您的权益,请与我们联系,我们将会及时处理。

扫一扫关注网站微信公众号领取20积分

联系我们

  • 工作时间:8:30-23:00
  • 客服QQ:1191420061
  • 投诉邮箱:1191420061@qq.com

QQ|手机版|小黑屋|免责声明|行业文库网 ( 滇ICP备16004803号-2 )

Powered by Discuz! X3.3 © 2001-2013 Comsenz Inc.

返回顶部