织梦漏洞修复

Weblogic10.3.6反序列化漏洞补丁(3L3H)升级方案

针对这几年来WebLogic软件经常报出的java反序列化漏洞问题,因为weblogic底层也使用ApacheCommonsCollections库,WebLogic存在Java反序列化漏洞无疑的,在漏洞修复这方面
孑木文学·2020-08-14 12:57

【漏洞公告】Oracle WebLogic Server 11g / 12c核心组件漏洞的说明以及详细修复方案(原创)...

1.1OracleWebLogic10.3.6.0.1907161.2OracleWebLogic12.1.3.0.1907161.3OracleWebLogic12.2.1.3.1905222.WLS内核组件漏洞说明3.漏洞修复方案
weixin_30739595·2020-08-14 11:38

Weblogic反序列化漏洞修复

Weblogic反序列化在各大论坛的讨论一直是轰轰烈烈的,引发本漏洞其实并不能怪java的反序列化机制.测试漏洞存在,应朋友的要求帮忙做个补救,翻遍网上大牛们的技术贴,有两种临时补救的方法,但是尝试过之后对应用有影响,放弃!今天找到某牛写的贴子,里面提到可以自己禁止JVM执行系统命令,经过一番研究,写了个servlet放在系统里面跑了一下,成功防御,直接贴出代码:importjava.io.Fil
sinosoft5876·2020-08-14 11:51

Weblogic wls-wsat反序列化漏洞修复

文章目录在于使用中间件的安全性方面,不进行处理的weblogic中间件会存在wls-wsat组件存在反序列化漏洞,利用该漏洞可执行系统命令,获取操作系统控制权限,特出此文档。因考虑到weblogic最新版本也在此漏洞范围之内,无法解决此漏洞,而将wls-wsat组件包删除后对系统无影响,所以此文档临时将漏洞组件包删除,实现漏洞的修复。1.验证漏洞是否存在2.修复步骤2.1停止服务2.2删除wls-
北洋的青春·2020-08-14 09:27

微信支付XXE漏洞修复解决办法

@tz根据微信官方回复消息:1、您更新的只是官方SDK的部分代码,没有完全更新,或者在SDK外还使用了XML的解析没有防XXE2、您可能有多个回调地址,而你只修复了其中一个3、您可能有多个服务器,你只发布了其中一台或者修改了没有正式发布4、实际做xml解析的不是修改的地方5、xml解析器和httpclient存在多个版本,有冲突,pom.xml可以查看jar版本号。修改过程;publicfinal
qq_26387907·2020-08-14 03:22

CatfishCMS任意命令执行导致getshell

CatfishCMS任意命令执行导致getshell目录一、漏洞说明二、漏洞测试三、漏洞修复目录测试环境:windows+php5.4.45+apache(phpStudy集成环境)CMS版本:v4.8.54
云雕·2020-08-11 19:18

【原】织梦dedecms v5.6 discuz7.2 xss漏洞

2010年07月05日星期一23:31由于某度众所周知的举动,让我搬离写了5年的渣度空间,准备把技术性的文章定在CSDN了。这些都是文章备份。勿怪。。鉴于最近有些抓取机器和抄袭者,把标题的【原】字都复制,我不得不声明:本文为yukon12345原创,转载请注明出处http://blog.csdn.net/yukon12345本想学习下知名cms的安全防范措施的,下了个最新版的dedecmsv5.6
yukon12345·2020-08-11 19:47

织梦cms)dedecms5.7注入和上传0day

漏洞类型:注入漏洞、上传漏洞漏洞描述:百度搜索关键字“PoweredbyDedeCMSV57_GBK2004-2011DesDevInc”,获得使用DeDeCMS系统的网站。注入漏洞。首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,然后访问“/m
Yatere·2020-08-11 19:26

总结一些防止dedecms系统被攻击的方法

总结一些防止dedecms系统被攻击设置的方法,可有效的防止织梦系统被挂马,仅供各位站长参考。
weixin_33982670·2020-08-11 19:30

织梦cms5.7 后台存在代码执行漏洞

漏洞利用:在本地搭建织梦cms,默认的后台地址为域名/dede因为后续的利用需要使用到token,然而登录成功后的数据包内并没有显示token值。
CODE_LW·2020-08-11 17:45

织梦DEDECMS安全防护设置及漏洞修复

一、程序一定要从织梦官网下载,其他地方下载的不能保证安全。二、下载后的程序在正常运行后,要删除下列文件夹(根据你的需要选择删除)。
丈哥SEO·2020-08-11 17:49

韩顺平主讲织梦dedecms 5.7二次开发实战仿站模板制作视频教程

二次开发视频教程由于原文件太大,上传到cdsn不方便,就传到网盘了下载地址传智播客PHP教程韩顺平dedecms项目开发笔记.rar下载地址:http://pan.baidu.com/s/1c0cXgac韩顺平主讲织梦
qq962692194·2020-08-11 17:46

dedecms教程:防XSS,sql注射,代码执行,文件包含的通用代码

最近因为织梦的漏洞,不少朋友用织梦建设的网站都被黑掉了,特意来分享一下模板无忧在用的一个代码,本代码可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。
buzhang1314·2020-08-11 16:13

织梦xss通杀所有版本漏洞【学习笔记】

漏洞原因:DEDECMS由于编辑器过滤不严,将导致恶意脚本运行。可getshell取得权限。为什么说它是0Day呢?能getshell的都算0Day(鸡肋发挥起来也能变凤凰)目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。下面说说利用方法。条件有2个:开启注册开启投稿注册会员-发表文章投稿.内容如下填写:@im\port'\http://zhimo.yuanzhumuban.cc
asevb02442·2020-08-11 16:54

织梦CMS 登录页面的XSS 注入漏洞及处理

一、客户检测报告:事件URL:http://127.0.0.1/mgr/login.php?gotopage=%22%3E%3Cinput%20type=%22text%22%20onInput=alert(1)%3E%3Cx=%22事件类型:漏洞-KingCms门户系统存储型XSS事件URL:http://127.0.0.1/mgr/login.php?gotopage=%22%3E%3Cinp
weixin_30606669·2020-08-11 15:37

存储型XSS CMS实战

只使用stripslashes、addslashes函数进行了过滤,导致xss触发漏洞修复使用htm
葵花与巷_·2020-08-11 15:04

include_path='.;C:\php5\pear'错误的解决方法

在买了中国信息港vps主机之后,想搭建一个DZ论坛、wordpress和一个织梦的门户网站,可是在使用的过程中,发生了一个很让我纠结的问题:安装PHP程序(比如Discuss、wordpress等等)提示
风隼·2020-08-11 12:55

后台权限维持技术

一般情况下,黑客拿下一个服务器之后可能会提交漏洞平台,服务器管理员在修复过程中常常会将后台登陆密码等口令进行重新配置黑客也因此在漏洞修复后极可能失去对网站的控制权,那么有什么方法可以来让黑客维持对网站后台的管理权限吗
a15914389907·2020-08-11 11:52

任意URL跳转漏洞修复与JDK中getHost()方法之间的坑

Tech任意URL跳转漏洞漏洞简单介绍:服务端未对传入的跳转URL变量进行检查和控制,导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易。修复该漏洞最有效的方法之一就是校验传入的跳转URL参数值,判断是否为预期域名。在Java中可使用下列方法
Android技术之家·2020-08-10 15:08

心脏出血漏洞修复记录

步骤一:将openssl升级至无漏洞版本http://blog.csdn.net/xiaowenk/article/details/77525046但是检测后网站依然存在心脏出血漏洞问题未得到解决,经过排查,原因是因为服务器中nginx使用的openssl版本依然是有漏洞的版本,因此需要重新编译nginx步骤二:重新编译Nginx#进入Nginx源码解压目录,清除旧编译文件makeclean#配置
进击的巨喵·2020-08-10 04:14

关于Spring中配置文件读取不到的问题

最近在做漏洞修复的工作,遇到了一个问题。我在spring中新建了类bean,注入属性,属性的值是从配置文件中获取的。然后在其他的功能中会直接从类中读取这些值进行逻辑上的判断。
北漂的Leo君·2020-08-09 23:28

织梦删除专题,文章时出现错误inc_batchup.php on line 17 如何解决?

最近在使用织梦模板搭建一个母婴知识平台:宝宝网,基本上搭建已经完毕。但是今天发布了一个专题发现发错了之后,想删除该专题,发现无法删除。
潘神博客·2020-08-09 22:53

如何修改织梦模板静态文字内容

安装好织梦模板后,如何修改页面的静态文字内容呢?如品牌词、底部版权信息等。
晨晨home·2020-08-09 16:11

Yii2 XSS 防范策略

XSS漏洞修复原则:不相信客户输入的数据注意:攻击代码不一定在《script》《/script》中将重要的cookie标记为httponly,这样的话Javascript中的document.cookie
wjtlht928·2020-08-09 15:38

linux下weblogic12c漏洞修复打补丁基本操作

日常运维工作中我们有时需要给weblogic打补丁,补丁文件是oracle官方发布的zip包。下面均为我本地的目录结构,实际操作中以你实际的目录为准。1、上传补丁并解压cd/picclife/software/psu-----指定一个存放的目录上传补丁:p30386660_122130_Generic.zip然后解压:unzipp30386660_122130_Generic.zip2、查看Opa
wang big big·2020-08-09 11:00

奇舞周刊第 313 期:Lodash 严重安全漏洞背后

Lodash严重安全漏洞背后“你真的有理解这个漏洞产生的原因,明白漏洞修复背后的原理了吗?这篇短文将从原理层面分析这一事件,相信“小白”读者会有所收获。”如何管理一个大型开源仓库?大型Git仓库管理
奇舞周刊·2020-08-09 10:28

Lodash 严重安全漏洞背后:你不得不知道的 JavaScript 知识

我们在忙着“看热闹”或者“”升级版本”的同时,静下心来想:真的有理解这个漏洞产生的原因,明白漏洞修复背后的原理
前端大全·2020-08-09 06:44

CVE-2020-0796(永恒之黑)漏洞复现Getshell

MySQL数据库从入门到实战应用CVE-2020-0796漏洞复现CVE-2020-0796受影响的系统版本环境搭建漏洞检测-扫描漏洞复现-返回会话漏洞复现-蓝屏攻击视频演示漏洞修复CVE-2020-0796Microsoft
小陈classmate·2020-08-08 18:24

阿里云漏洞修复

RHSA-2018:3665-重要:NetworkManager安全更新yumupdateNetworkManager#有效yumupdateNetworkManager-libnmyumupdateNetworkManager-teamyumupdateNetworkManager-tuiyumupdateNetworkManager-wifiRHSA-2017:1931-中危:bash安全和B
cocacola81·2020-08-08 14:14

DedeCMS织梦为文章图片自动添加ALT标签

用DedeCMS在做图片站,一般都是采集,很多图片没有alt标签,对搜索引擎来说并不友好,一张一张写相当麻烦,可以修改为文档关键字或文章标题作为图片alt描述。图片的匹配度当然没有手动的好,但做站群的时候能省事就好。百度霸屏修改文件include/arc.archives.class.php找到://设置全局环境变量$this->Fields['typename']=$this->TypeLink
陪代码一起浪迹天涯·2020-08-08 02:00

织梦DEDEMS调用当前栏目TAG,调用指定栏目下面子集栏目TAG,指定栏目TAG详解

织梦DEDEMS调用当前栏目TAG,调用指定栏目下面子集栏目TAG,指定栏目TAG详解:列表页可以用下面这个:{dede:type}[field:idrunphp=yes]$tsql2=newDedeSql
陪代码一起浪迹天涯·2020-08-08 02:59

关于wordpress IP验证不当漏洞的解决办法

漏洞修复方法:在网站目录下找到wp-includes/http.php这个文件找到:$same_host=strtolower($parsed_home['host'])===strtolower($parsed_u
weixin_34275734·2020-08-08 02:06

织梦火车头采集文章图集+采集附加字段(附带文章和图集的发布模块)

(附带文章和图集的发布模块)https://pan.baidu.com/s/1YEeDGGK4iZS78LivkCUGUg密码:mgmw下载,解压,使用(注意:其他后台风格可能与发布模块不兼容,请使用织梦默认后台风格
weixin_30339969·2020-08-08 02:48

DedeCms织梦火车头采集文章图集和附加字段教程

文章和图集的采集效果火车采集器V8.4下载下载,解压,使用注意:其他后台风格可能与发布模块不兼容。生活百科不需要注册,直接点击登录即可。如果是自己从其他地方下载的火车头采集器,请参考下面的使用教程说明新闻发言人文章和图集发布模块单独下载云盘下载密码:tkgp导入发布模块任务中发布内容设置注意:发布模块里的【内容发布参数】表单有表单值(中文)要和任务里的【第二步:采集内容规则】标签名对等;百度霸屏推
陪代码一起浪迹天涯·2020-08-08 01:37

企业网站被黑 dedecms漏洞修复办法

前段时间网站被黑了,从百度打开网站直接被劫持跳转到了彩票,du博网站上去,网站的首页index.html文件也被篡改成一些什么北京sai车,pk10,一些cai票的关键词内容,搞得网站根本无法正常浏览,从百度搜索我们公司网址,直接被百度拦截,提示什么:百度网址安全中心提醒您:该页面可能存在违法信息!截图如下:关于如何解决网站被黑,防止网站被劫持,我来详细的跟大家说说我的解决办法:首先我们公司的网站
websinesafe·2020-08-08 00:29

织梦不修改文件可现实文章随机缩略图的方法

html5及扁平化设计概念的流行,缩略图成为网页中不可或缺的一个功能,并且美观性极为重要,dedecms默认的的缩略图调用标签[field:picname/],在文章有缩略图的时候会调用缩略图,没有的时候就调用默认图片defaultpic.gif,但是会有各种意外的情况导致文章内没有配图,只是显示默认的图片的话,页面美观上就得不到保证,并且意外丢失图片文件也会使页面缺乏美。网上有人分享过通过js来
-网络游客·2020-08-07 18:13

织梦dedecms全部文章列表arclist不包含某个栏目的方法

织梦建站时,有时候指定栏目文章不需要在某处显示,或者不参与排序和推荐时,只用typeid过滤很麻烦,并且维护起来也很不爽,下面分享给大家怎么解决全站文章列表排除指定栏目的方法。
-网络游客·2020-08-07 18:13

品牌营销策划公司网站搭建模板

品牌营销策划公司网站搭建织梦模板,营销策划公司是指从事市场营销服务,运用专业营销理论思想,例如插位战略、水平营销、透视营销等理论与实战经验,帮助企业通过“智慧和创意”,以更经济更快速的方式打开市场的专业营销服务公司
fofu33·2020-08-07 13:22

ppt图片设计素材下载网站搭建模板

PPTPSD图片动画设计素材下载网站搭建织梦模板,该模板可作为图片PPT办公软件网页素材下载类网站、站长资源素材类网站使用,一款适用性很强的模板,基本可以适合各类站长素材资源站!
fofu33·2020-08-07 13:22

大型建筑集团网站搭建模板

运行环境:整站程序采用PHP+MYSQL架构,内核使用的是织梦Dedecms5
fofu33·2020-08-07 13:22

窗帘门帘布艺装修网站搭建模板

织梦最新内核开发的模板,该模板属于窗帘装修行业,布料企业,家居用品装饰类,属于企业通用,家居用品设计、家居用品设计装修装饰等企业均可以使用该模板,页面简洁简单,容
fofu33·2020-08-07 13:22

针对 CSRF 漏洞的防范 [c#,html,webform,mvc,,app api]

最近帮别人“擦屁股”,做了全局CSRF漏洞修复,针对各种表单,作如下分享(html为通用方法):#############################1.webform这种情况只需加载一个DLL(Idunno.AntiCsrf.dll
FeelUps·2020-08-06 11:59

路由器安全升级和设置

1.安全升级—更新路由器固件进行漏洞修复,能够在一定程度上保证安全性,更新固件后,部分路由器默认管理登录密码升级为自身序列号S/N,比常用默认的密码admin强多了!
海阔的天空·2020-08-06 10:41

长亭科技崔勤:如何打造一个“安全巡检”神器 | 深度

从最基本的安全检测(如手动排查,提供漏洞修复方案等)开始做起,长亭一步一步地在国内攻防渗透领域站稳脚跟,服务的企业涉及金融、电商、泛互联网等行业。不过,他们的野心似乎不止于此。从手工打磨到机器巡航
weixin_34409822·2020-08-05 20:20

织梦dedecms手机上,自动跳转到/m目录mobile手机版h5页面

织梦的m文件夹为手机版,里面有list.php,view.php等文件.如果需要手机上浏览电脑版页面,自动跳转到对应的手机页面,需要通过js实现一,把下面代码放在文件uaredirect.js中并上传,
viqecel·2020-08-05 20:25

关于struts2.3.4项目跨站执行脚本以及远程执行漏洞修复概要

因为近期负责的几个银行系统软件,需要交付客户,因此客户专门请了安全公司对系统进行了安全评测,结果发现了诸如跨站执行脚本,远程执行漏洞以及弱口令等问题。下面记录下本次解决的过程以便后续1、首先从最简单的开始处理,服务器的弱口令问题,首先根据安全工具提供的测试描述中发现应用服务器中存在一个匿名用户,默认是不需要密码的,经过分析发现服务器使用了FTP协议,而使用ftp协议默认会产生一个匿名用户,因此解决
chengbowen00·2020-08-05 18:03

bootloader移植

http://www.zhimengzhe.com/linux/186849.htmllittlekernel分析_linux教程-织梦者(比较重要)可参看http://blog.csdn.net/hankhanti
lf12345678910·2020-08-05 13:04

Java Web项目漏洞修复(绿盟检测)

前言在公司给客户做的一个项目中,客户使用绿盟进行了项目漏洞扫描,这里记录一下我做的一些漏洞修复方法。
黑人问号·2020-08-05 12:53

全局存储型XSS漏洞修复

什么是XSS?人们经常将跨站脚本攻击(CrossSiteScripting)缩写为CSS,但这会与层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意
大白菜鸟·2020-08-05 11:11

【xss漏洞】存储型XSS漏洞修复

一、简单的测试输入框输入alert(document.cookie)得到结果,存在较为严重的存储型XSS漏洞二、代码分析2.1输入处理代码分析$message=escape($link,$message);$query="insertintomessage(content,time)values('$message',now())";$result=execute($link,$query);2.
土豆.exe·2020-08-05 11:06
上一页 24 25 26 27 28 29 30 31 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他