织梦dedecms v5.7 CSRF保护措施绕过漏洞

时间:2021-09-04 00:34:12 投诉/举报
这篇文章主要为大家详细介绍了织梦dedecms v5.7 CSRF保护措施绕过漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,有需要的朋友可以收藏方便以后借鉴。

        织梦漏洞简报:dedecms v5.7 CSRF保护措施绕过漏洞 

         描述:对函数输出校验不当导致可以传入恶意数组绕过CSRF防御. 文件:/dede/config.php

漏洞名称

dedecms v5.7 CSRF保护措施绕过漏洞

漏洞简介

Dedecms V5.7SP2正式版(2018-01-09),对函数输出校验不当导致可以传入恶意数组绕过CSRF防御。

漏洞文件

/dede/config.php

漏洞修复

打开 /dede/config.php 找到大概在67行

if(!isset($token) || strcasecmp($token, $_SESSION['token']) != 0){

改成

if(!isset($token) || strcasecmp($token, $_SESSION['token']) !== 0){

如图所示

漏洞说明

       自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示。

以上就是织梦dedecms v5.7 CSRF保护措施绕过漏洞的全部内容,希望对大家的学习和解决疑问有所帮助,也希望大家多多支持乐享吧网。

图解windows服务器iis上添加.mp4格式视频mime类型映射

《图解windows服务器iis上添加.mp4格式视频mime类型映射》主要是讲的不少windows服务器用户发现在自己的服务器上不能播放.mp4的文件,究其原因主要是因为iis里的mime类型默认是没有添加