农夫程序员-微赞微擎任意文件下载漏洞global.func.php文件修复方法

来源: 农夫程序员-微赞微擎任意文件下载漏洞global.func.php文件修复方法

阿里云提示了一个“微擎任意文件下载”的漏洞,该如何修复这个漏洞呢?先看看漏洞的描述!
阿里云安骑士的提示:

微赞微擎的/framework/function/global.func.php中,任意文件下载,补丁绕过。

不得不说,这次阿里云安骑士这段时间对微赞微擎很上心,一下出了好多个修复文件。我们就直接看看修复方法吧。
修复方法:
  • 打开/framework/function/global.func.php文件
  • 搜索
  • if (strexists($t, ‘http://’)
  • 找到
  • if (strexists($t, ‘http://’) || strexists($t, ‘https://’) || substr($t, 0, 2) == ‘//’) {
  •                 return $src;
  •         }
  • 替换为
  • if((substr($t, 0, 7) == ‘http://’)||(substr($t, 0, 8) == ‘https://’)||(substr($t, 0, 2) == ‘//’)){ return $src; }
保存文件,上传到服务器,去安骑士上验证一下就过了。如果搞不定直接下载下面的附件覆盖吧。
下载附件文件替换掉你服务器/framework/function/global.func.php的文件,再去安骑士验证一下就好了。
赞(0) 打赏
分享到: 更多 (0)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏