大发1分彩_大发1分彩投注平台_大发1分彩娱乐平台

AkCms v4.0.2

时间:2020-01-13 06:36:50 出处:大发1分彩_大发1分彩投注平台_大发1分彩娱乐平台

  AkCms 官方近日敲定 了地处于v4.0.2-4.0.9的俩个 多严重安全漏洞,提醒站长亲戚亲戚亲戚朋友及时修复。

  利用该漏洞黑客可不可不能否自行构造俩个 多cookie,可直接获得后台权限,从4.0.1以下版本升级上来的站点不受影响,启用了自定义后台目录(怎样自定义后台目录?http://www.akcms.com/manual/custom-core-path.htm)的站点不受影响。

  请马上按照下面的土辦法 进行修复:

  请打开configs/config.inc.php,将

  $codekey = "akcms";

  中的akcms改成一串别人猜可不可不能否 的随机数,比如:khowda0、17fyw95j,长度不限。

  改完以后应该相似原来的:

  $codekey = "lhk73hf2";

  而且保存,修补完毕。

  解释:

  你你这个 漏洞产生的原困是,从4.0.2版以后以后开始重写了安装脚本中生成配置文件的代码。逻辑是:而且读到了配置项的值,就以此值为准;但安装过程中系统尚未生成配置文件,此都会俩个 多多临时的固定配置项(临时值是akcms),你你这个 配置项的地处原困了,系统误认为原来指定过$codekey,就仍然沿用了akcms,原困了哪些地方地方版本安装后的网站的codekey全部都会一样的;正常清况 下系统应该自动生成一串$codekey。

  危害:

  而且网站是从4.0.2-4.0.9版本安装的,而且未自定义后台目录(怎样自定义后台目录?http://www.akcms.com/manual/custom-core-path.htm),也没人按照里边说的重置$codekey。黑客可不可不能否自行构造俩个 多cookie,可直接获得后台权限。

  经常出现没人严重的漏洞,是我在写多多任务管理器 时粗心大意,测试欠缺造成的结果,在此我深表歉意。AKCMS站长亲戚亲戚亲戚朋友们而且不选取当事人是与否而且补上了你你这个 漏洞,我我应该 帮助检查代码;我应该 当事人动手,我不可不可不能否代劳(免费,我的QQ:2634260 389)(例外一次:破解用户也可享受此免费服务)。

  不过从原来侧面说明了,自定义后台目录的机制真的是很有用的(怎样自定义后台目录?http://www.akcms.com/manual/custom-core-path.htm)。

  原文地址:http://www.akcms.com/dynamic/reset-safecode.htm

热门

热门标签