阿里云提示漏洞：destoon变量覆盖导致延时注入

longdakun · 发表于 2017-6-4 19:25:57

file/update/20160316/source/destoon/module/mall/my.inc.php
file/update/20160316/backup/module/mall/my.inc.php

destoon使用extract函数对参数进行注册时，使用不当导致变量覆盖，从而参数不可控，导致SQL延时注入。【注意：该补丁为云盾自研代码修复方案，云盾会根据您当前代码是否符合云盾自研的修复模式进行检测，如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案，可能会导致您虽然已经修复了改漏洞，云盾依然报告存在漏洞，遇到该情况可选择忽略该漏洞提示】

joy · 发表于 2017-6-7 10:19:00

谢谢joy的解决方案

龙在天涯 · 发表于 2017-6-5 08:06:48

my.inc.php里面所有的extract函数加上, EXTR_SKIP参数就可以

longdakun · 发表于 2017-6-5 08:50:39

file/update/这个是目录下面是每次更新之后，系统备份的文件

longdakun · 发表于 2017-6-5 08:54:59

龙在天涯发表于 2017-6-5 08:50

file/update/这个是目录下面是每次更新之后，系统备份的文件
是备份文件，但是不能删呢。

龙在天涯 · 发表于 2017-6-5 08:50:00

joy 发表于 2017-6-5 08:06

my.inc.php里面所有的extract函数加上, EXTR_SKIP参数就可以
具体怎么加啊

longdakun · 发表于 2017-6-5 08:55:26

longdakun 发表于 2017-6-5 08:54

是备份文件，但是不能删呢。
备份的文件是可以删除，或直接修改文件，在报错的内容后面直接加入, EXTR_SKIP这个就可以

zhao90 · 发表于 2017-6-5 08:06:00

龙在天涯发表于 2017-6-5 08:58

备份的文件是可以删除，或直接修改文件，在报错的内容后面直接加入, EXTR_SKIP这个就可以 ...
好点，多谢

龙在天涯 · 发表于 2017-6-5 08:58:41

学习一下

joy · 发表于 2017-6-5 08:54:00

longdakun 发表于 2017-6-5 09:00

好点，多谢

		自动登录	找回密码
密码			立即注册

阿里云提示漏洞：destoon变量覆盖导致延时注入

浏览过的版块