阿里云提示Discuz uc.key泄露导致代码注入漏洞uc.php的解决方法
2016-12-13 09:51
796 查看
适用所有用UC整合
阿里云提示漏洞:
discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,..........
漏洞名称:Discuz uc.key泄露导致代码注入漏洞
补丁文件:/api/uc.php
补丁来源:云盾自研
解决方法:
找到文件/api/uc.php 中的以下代码:
$configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;
大概216行,替换成以下:
$configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i", "define('UC_API', '".addslashes($UC_API)."');", $configfile);
更新代码后,在阿里云后台这条漏洞后面点“验证一下”,即可看到这条漏洞补上就没有了
科普一下:PHP addslashes() 函数
在每个双引号(")前添加反斜杠:
<?php $str = addslashes('Shanghai is the "biggest" city in China.'); echo($str); ?>
结果:Shanghai is the \"biggest\" city in China.
相关文章推荐
- Discuz!uc.key泄露导致代码注入漏洞uc.php的解决方法
- 阿里提示Discuz uc.key泄露导致代码注入漏洞的解决方法
- 阿里云提出的漏洞(Phpcms V9某处逻辑问题导致getshell漏洞解决方法)的问题
- PHP脚本内存泄露导致Apache频繁宕机解决方法
- Discuz! X1.5 访问群组group.php页面提示数据库错误的解决方法
- dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法
- Eclipse导入颜色配置文件导致代码自动提示功能失效的解决方法
- discuz教程:阿里提示Discuz memcache+ssrf GETSHELL漏洞的解决方法 终极解决办法 最新版
- 阿里云盾提示Discuz uc.key泄露导致代码注入漏洞
- SELinux导致无法访问外网,PHP连接MySQL异常Can't connect to MySQL server、redis程序访问提示Redis server went away的解决方法
- SAP B1在添加物料主数据时,出现错误提示‘xxxx代码已存在’的解决方法
- Discuz登陆提示 “Access denied for agent changed”,头像无法更改,无法显示短消息的解决方法
- php has encountered an unhandled exception code 错误提示的解决方法
- CentOS使用yum安装软件提示需要KEY的解决方法
- 在Winform中更改控件导致designer中代码自动移除解决方法
- Eclipse 自动提示代码功能消失的解决方法
- 常见iPhone错误代码提示及解决方法
- php中session出现warning或note提示 解决方法
- phpMyAdmin setup.php脚本PHP代码注入漏洞
- 织梦/dedecms提示php.ini register_globals must is Off!的解决方法