本帖最后由 民审-M 于 2017-8-7 13:22 编辑
很多站长UC后台创始人密码无故被改,UC目录下多出莫名的php文件,论坛被挂马,UC文件被写一句话等问题安全修复加强:
UC_KEY泄露后,头像功能有可能被用于上传任意文件 uc_server/model/base.php 找到 下边加:(2017.08.07更新方案) - if($k == 'uid') {
- if(is_array($this->input[$k])) {
- foreach ($this->input[$k] as $value) {
- if(!preg_match("/^[0-9]+$/", $value)) {
- return NULL;
- }
- }
- } elseif(!preg_match("/^[0-9]+$/", $this->input[$k])) {
- return NULL;
- }
- }
uc_server/model/pm.php 找到 - if($uid == $value || !$value) {
修改为 - if($uid == $value || !$value || !preg_match("/^[0-9]+$/", $value)) {
ps:站长应该考虑下 入侵者如何获取的uc_key,比如交给过APP运营商服务器信息?FTP信息?网站后台信息?
| 
帐号登录
QQ登录
微信登录
发表于 2017-7-28 12:05:40
