找回密码
 立即注册

QQ登录

只需一步,快速开始

UC_KEY泄露后 导致任意文件上传漏洞修复方案之一

UC_KEY泄露后,头像功能有可能被用于上传任意文件
uc_server/model/base.php
找到
  1. function input($k) {
复制代码



下边加
  1. if($k == 'uid' && !preg_match("/^[0-9]+$/", $this->input[$k])){    return NULL;}
复制代码
游客,如果您要查看本帖隐藏内容请回复



uc_server/model/pm.php
找到
  1. if($uid == $value || !$value) {
复制代码



修改为
  1. if($uid == $value || !$value || !preg_match("/^[0-9]+$/", $value)) {
复制代码

无限星辰工作室 星辰APP
服务Discuz!建站|搬家|运维|挂马防护|Win Linux网站环境(lanmp)架设优化|服务器安全维护|解决CPU100|解决论坛卡顿
服务理念:专业 诚信 友好QQ842062626 点击看服务项目 Discuz!交流群 315524225
发表于 2017-8-7 00:11:41 | 显示全部楼层 |阅读模式

回复 | 使用道具 举报

该帖共收到 1 条回复!
游客,如果您要查看本帖隐藏内容请回复
无限星辰工作室 星辰APP
服务Discuz!建站|搬家|运维|挂马防护|Win Linux网站环境(lanmp)架设优化|服务器安全维护|解决CPU100|解决论坛卡顿
服务理念:专业 诚信 友好QQ842062626 点击看服务项目 Discuz!交流群 315524225
发表于 2018-3-18 13:35:53 | 显示全部楼层

回复 | 支持 | 反对 使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

美图秀

    • Discuz!x3.4出现抱歉,您尚未输入标题或内
    • Discuz!x3.4 万能转帖接口服务端(API) 需要
    • Discuz!xX3.1-3.4 配套微信小程序1.2版本发
    • Discuz!x3.1-3.4 配套小程序1.0发布(简洁
    • 小云App本地部署微站设置教程
拖动客服框
Online Service
点击这里联系我们
点击这里给我发消息
有事点这里
在线客服
快速回复 返回顶部 返回列表