QT语音论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 232|回复: 0

阿里云提示Discuz uc.key泄露导致代码注入漏洞uc.php的解决方法

[复制链接]
扫一扫,手机访问本帖
发表于 2018-4-11 19:33:24 | 显示全部楼层 |阅读模式
适用所有用UC整合
阿里云提示漏洞:
discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,..........

漏洞名称:Discuz uc.key泄露导致代码注入漏洞

补丁文件:/api/uc.php

补丁来源:云盾自研

解决方法:
找到文件/api/uc.php​ 中的以下代码:


  1. $configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;
复制代码


大概216行,替换成以下:

  1. $configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i", "define('UC_API', '".addslashes($UC_API)."');", $configfile);
复制代码


更新代码后,在阿里云后台这条漏洞后面点“验证一下”,即可看到这条漏洞补上就没有了





科普一下:PHP addslashes() 函数

在每个双引号(")前添加反斜杠:
php $str = addslashes('Shanghai is the "biggest" city in China.');echo($str); ?>
结果:Shanghai is the \"biggest\" city in China.


免责条款:本站仅提供学习的平台,所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,并不承担任何法律责任,如果对您的版权或者利益造成损害,请提供相应的资质证明,我们将于3个工作日内予以删除。

QT语音论坛 ( 鲁ICP备14016835-1号 )

GMT+8, 2018-10-21 17:44

Powered by QT语音论坛

© 2012-2018 QTvcd Inc.

快速回复 返回顶部 返回列表