网站安全检测漏洞检测dedecms本地文件包含

Posted 2023-02-23 卡布奇诺Princes

可以在“站长工具”或“360网站安全检测”进行网站安全检测

以下是个人遇到的网站安全检测问题：

这是修改后的检测返回的信息

之前是存在高危漏洞1个页面

【高危】dedecms本地文件包含

找到Include/payment/alipay.php

       Include/payment/yeepay.php

从下载补丁的地址下载，按照你安装的dedecms后台系统的编程语言现则是utf8还是gbk，把上面的两个文件替换了，这两个文件其实是支付文件，alipay.php中的第133行$_GET['code']没有经过任何判断和过滤，导致本地文件包含漏洞产生，系统对用户可控参数没有做过滤并传递给函数（可以跳目录来指定任意文件），导致信息泄露、执行任意代码等。补丁中有对它的进一步优化。