源码论坛,商业源码下载,尽在锦尚中国商业源码论坛

标题: 阿里云提示微信魔方1.5.4任意文件删除漏洞解决办法 [打印本页]

作者: 欧阳锋    时间: 2018-12-25 13:38
标题: 阿里云提示微擎1.5.4任意文件删除漏洞解决办法


阿里云提示微信魔方1.5.4任意文件删除漏洞解决办法  web/source/founder/display.ctrl.php
阿里云感知给的提示是代码权限控制存在漏洞导致攻击者可任意删除用户。

文件:/web/source/founder/display.ctrl.php

漏洞修复方法:

找到大约14行代码:
  1. $founders = explode(',', $_W['config']['setting']['founder']);
复制代码

在这行代码后面增加一段代码:
  1. $identity = uni_permission($_W['uid']);if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
  2.     itoast('???????', referer(), 'error');
  3. }
复制代码


阿里云验证即可通过

也可以购买咱们的微信魔方授权,获得在线升级权限,我们的已经整合了一些常见的第三方微信营销代码 : http://mofang.52jscn.com








欢迎光临 源码论坛,商业源码下载,尽在锦尚中国商业源码论坛 (https://bbs.52jscn.com/) Powered by Discuz! X3.3