适用所有用UC整合 阿里云提示漏洞: discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,.......... 漏洞名称:Discuz uc.key泄露导致代码注入漏洞 补丁文件:/api/uc.php 补丁来源:云盾自研 解决方法:找到文件/api/uc.php​ 中的以下代码: $configfile = substr($configfile, -) == , -) : $configfile; 大概216行,替换成以下: $configfile =…

漏洞描述:在Discuz中,uc_key是UC客户端与服务端通信的通信密钥,discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,最终进入网站后台,造成数据泄漏.您也可以登录官方网站更新到最新版本解决.最近用某云服务器的朋友比较多,都来反馈~这个漏洞,现在把修复方案分享下吧 打开/api/uc.php 第一处修改 if(!API_UPDATEBADWORDS) { return API_RETURN_FORBIDDEN; } $data = array()…

最近网站CPU经常爆满,到阿里云提交了工单,工程师给我的处理意见:   您好,虚拟主机CPU占用比较高通常这种情况有两种可能:   一是网站应用程序代码逻辑较复杂,或业务架构效率比较低,在请求了某个网页后执行了死循环,造成占用CPU较高,您可以对网站程序代码进行优化改善.   二是有可能您的网站被访问量比较大,访问量包括正常的访问,也包括其他人恶意的频繁攻击式访问,您可以根据网站日志文件,筛选下是否有类似蜘蛛爬虫程序在频繁访问您的网站,对您的虚拟主机造成资源的大量消耗.如果有异常IP的话,您可以…

一般这个漏洞都是下面文件,source/function/function_core.php 搜索下面代码: $content = preg_replace($_G['setting']['output']['preg']['search'], $_G['setting']['output']['preg']['replace'], $content); 在此行代码前增加下面代码: if (preg_match("(/|#|\+|%).*(/|#|\+|%)e", $_G['setti…

Discuz ML! V3.X 代码注入漏洞 前言 Discuz!ML是一个由CodersClub.org创建的多语言,集成,功能齐全的开源网络平台,用于构建像"社交网络"这样的互联网社区. 该引擎基于Comsenz Inc.创建的着名的Discuz!X引擎开发. 漏洞描述 2019年7月11日, Discuz!ML被发现存在一处远程代码执行漏洞,攻击者通过在请求流量的cookie字段中的language参数处插入构造的payload,进行远程代码执行利用,该漏洞利用方式简单,危害性较…

dedecms的/plus/advancedsearch.php中,直接从$_SESSION[$sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话. 危害: 1.黑客可以通过此漏洞来重定义数据库连接. 2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门. 云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入,修复方法如下: 用文本编辑器打开/mnt/…

将另一台服务器上的数据库备份文件,在现在用的这台服务器上还原之后,再创建相同的用户名,提示用户已存在 想将之前的用户先删除掉,却提示“数据库主体在该数据库中拥有架构,无法删除解决方法” 在网上找到方法,试了一下,还真管用. --执行如下SQL语句 ALTER AUTHORIZATION ON SCHEMA::db_owner TO dbo; --然后手动删除就可以了 我看还原后的数据库中的db_owner架构所有者就是那个要删除的用户名,再看其他数据库中的db_owner架构的所有者就是db_o…

测试方法: 提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!   Discuz 7.2 /faq.php SQL注入漏洞   http://www.xxx.com/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tab…

eclipse下修改项目名导致tomcat内发布名不一致的解决方法 . ------------------------------------------------------- 解决方案: 直接ctrl+h 查找相应的项目名称的以前项目名,然后修改即可 The processing instruction target matching "[xX][mM][lL]" is not allowed. 解决方案::<?xml version="1.0" en…

ubuntu eclipse 建立server 提示coud not load the tomcat server configuration at /opt/apache ...的解决方法 & 及new server 时tomcat 无法finish (灰掉不可用)的解决方法. 运行命令 chmod -R 777 /opt/apache-tomcat-*…

Foxmail 登录 qq 账号时无法登录  提示我们设置了独立密码或使用授权码登录的解决方法 1.首先我们设置我们邮箱的类型如下图所示 2.打开网页版的qq邮箱  在设置--->账户--->服务下面生成授权码即可当做密码登录 3.生成授权码  用授权码即可登录…

转自: 因修改/etc/sudoers权限导致sudo和su不能使用的解决方法   系统环境:ubuntu 12.04 状况: 因为修改了/etc/sudoers以及相关权限,导致sudo无法使用,恰好Ubuntu的root密码没有设置. 错误如下: ~$ sudo sudo: >>> /etc/sudoers:syntax error 在行 21 附近<<< sudo: /etc/sudoers 中第 21 行附近有解析错误 sudo: 没有找到有效的 sudoers…

qt 旧项目编译运行提示 "启动程序失败,路径或者权限错误?" 原因及解决方法 原因 Qt Creator在打开项目文件的同时会生成.pro.user文件,.pro.user文件叫做 用户配置描述文件 包含一些与Qt相关的本地配置信息,如果更新qt版本或打开别人的项目会使Qt读取错误的配置. 解决方法 删除.pro.user文件…

本文迁移自Panda666原博客,原发布时间:2021年3月29日. Hyper-v安装虚拟机,提示the image's hash and certificate are not allowed错误的解决方法: 在[Hyper-V 管理器]中,选中您要处理虚拟机的虚拟机,鼠标右键弹出菜单,点击[设置]. 切换到[安全]栏,取消勾选 "启用安全启动". 点击[确定].然后启动虚拟机,就可以启动了.…

类似以下提示: XXX.php中,对输入参数id未进行正确类型转义,导致整型注入的发生 解决办法: 找到对应文件:$id = $_GET['id']; 增加以下标红过滤: $id = $_GET['id']; $id = stripslashes($id); $id = mysql_real_escape_string($id); 更新代码后,在阿里云后台这条漏洞后面点“验证一下”,即可看到这条漏洞补上就没有了 处理方式是首先通过 stripslashes 函数删除变量中的反斜杠 \,再使用函数…

本文转自:https://www.liuzhishi.com/2931.html 标题: wordpress IP验证不当漏洞 简介: wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF. 解决方案: 方案一:使用云盾自研补丁进行一键修复: 方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助. [注意:该补丁为云盾自研代码修复方…

从昨日下午三点阿里云主机迁移变更IP导致网站挂点,到刚刚网站.手机客户端均恢复访问,这个过程持续了24个钟头.最后还是我自己解决了问题. 哎,真是揪心. 其间和阿里云工程师反复沟通,昨日沟通到今日凌晨快1点,还是各种不行. ----- 首先是要重新挂盘. df -hT 查看数据盘是否挂载成功 cat /etc/fstab查看一下是否有自动挂载的配置文件 fdisk -l 查得有4个数据盘,名称分别为: /dev/vdb1 /dev/vdc1 /dev/vdd1 /dev/vde1 这四个是数据盘…

1.阿里云提供生成修复命令,但是这个只提供给企业版,即收费的: 2.自己手动修复的话, 采用软件升级一般都可以解决.除了提示带kernel的高危漏洞的,其他的不需要重启实例即可修复. 有kernel的需要更新完成重启实例. ①这里可以先把“漏洞名称”百度一下,然后按搜到的方法处理就可以了 ②网上没有解决办法,或最粗暴的方法,升级更新系统软件 #root登陆 yum check-update #查看可升级的系统软件 yum upgrade #升级所有可升级的系统软件 #等待执行完成. 完成后, 在…

首先,vue和阿里云oss上传图片结合参考了 这位朋友的 https://www.jianshu.com/p/645f63745abd 文章,成功的解决了我用阿里云oss上传图片前的一头雾水. 该大神文章里有写github地址,里面的2.0分支采用vue2.0实现,只不过这个上传图片用的是分片上传,即断点续传,分片上传由于一片是以100kb为起始的,所以当图片大小小于100kb的时候不分片,可以正常上传,当大于100k的时候,会报错如下: One or more of the specified…

旧版提示:"CLodop云打印服务(localhost本地)未安装启动!"新版提示:"Web打印服务CLodop未安装启动,点击这里下载执行安装(若此前已安装过,可点这里直接再次启动),成功后请刷新本页面.” 可能原因及现象及解决方法:原因1:没安装,需要安装C-Lodop.现象:无桌面快捷方式,无clodop安装配置文件,无进程.(1)桌面上没有c-lodop小打印机图标的快捷方式(2)系统盘这两个目录下都没有c-lodop相关文件夹,两个路径下文件名为CLodop32或C…

catalog . 漏洞描述 . PHP SESSION持久化 . PHP 序列化/反序列化内核实现 . 漏洞代码分析 . POC构造技巧 . 防御方案 . Code Pathc方案 1. 漏洞描述 Joomla在处理SESSION序列化数据的时候,对序列化格式未进行严格规范,导致攻击者可以构造畸形HTTP包,实现对象注入 Relevant Link: https://developer.joomla.org/security-centre/630-20151214-core-remote-co…

今天遇到一个问题,就是“NeatUpload大文件上传控件而导致Nonfile portion > 4194304 bytes错误”,百度后发现了一个解决方法,跟大家分享下: NeatUpload是一个开源的大文件上传控件,非常的强大,支持文件类型过滤.上传进度条显示.多文件上传等强大的功能. 但部署至项目后,有些地方用普通的FileUpload上传时却发生了一个错误(Nonfile portion > 4194304 bytes,文件大于默认值4M),因如果用NeatUpload控件及需要显…

因为修改了/etc/sudoers以及相关权限,导致sudo无法使用,恰好Ubuntu的root密码没有设置,每次执行 su - 时.输入密码,提示:认证错误 . 解决方法: 1.重启ubuntu,启动时按Esc或Shift键,可以看到引导选项: 2.在引导选项中选择Recovery模式的那一项来引导: 3.进入Recovery Menu页面,选择root,也就是进入试用root用户进行系统恢复,在这里可以执行超级用户的权限的操作,回车后可以看到熟悉的 root@user ~# 命令提示符: 4…

问题描述: iPhone越狱了,之后在Cydia中安装Anywhere虚拟定位,但是打开app提示:后台服务未启动,请重新安装应用后使用. 程序无法正常使用... 解决方法: 打开Cydia-已安装,找到依赖文件“Cydia Substrate”,重新安装,然后再打开Anywhere虚拟定位就不会提示且正常使用. 如果还不能解决你的问题或者有其他有关Anywhere虚拟定位的问题,可加群527720308(Anywhere虚拟定位)一起讨论.…

最近由于买了macbook,开始用mac os系统,发现一个奇怪的现象,在app store里下载应用,老是提示:下载失败 使用已购页面再试一次 原来一直不知道怎么解决这个问题,今天研究了下,发现解决问题的方法更加奇葩.... 解决方法: 关闭网络,关闭app store . 重新打开网络.重新打开app store.... 我去,这样就解决了... 虽然不知道是因为什么,但确实有效-_-! 希望对你能有所帮助-…

转:https://blog.csdn.net/bflong/article/details/79137692 参照:https://blog.csdn.net/imsaws/article/details/15500903 一.环境 Win10 X64 VS2015 PCL1.8.0AllinOne 二.代码 #include "stdafx.h" #include <pcl/point_types.h> #include <pcl/io/pcd_io.h>…

Qt5工程编译生成可执行的exe文件之后,运行提示无法启动此程序,计算机丢失Qt5Widgetsd.dll… 原因是没有设置好Qt5的环境变量,解决方法如下: 1.打开[环境变量],(不同的系统会有不同的方法) 2.点击选中Path项后点[编辑],或直接双击Path选项 3.在跳出的窗口中加入: C:\Qt\Qt5.9.1\Tools\QtCreator\bin;C:\Qt\Qt5.9.1\5.9.1\msvc2015_64\bin; (PS:安装的路径不同,[DC:\Qt\Qt5.9.1\5.…

BurpSuite可谓是渗透测试过程经常使用的神器之一,但使用中经常会碰到奇奇怪怪的问题,比如有时抓http包,发送到Repeater(中继器,也叫重发器)模块后,在右边Render模块下,却无法看到预览画面,提示 embedded browser initialisation failed(嵌入式浏览器初始化失败),如下图,重新安装后,问题依旧 同时,在帮助菜单的"内置浏览器健康检查"下,也有一个错误提示, Evaluating JavaScript using embedded b…

*无法联网的明显表现会有: 1.yum install出现 Error: cannot find a valid baseurl or repo:base 2.ping host会提示unknown host 方法一. 1.打开 vi /etc/sysconfig/network-scripts/ifcfg-eth0(每个机子都可能不一样,但格式会是"ifcfg-eth数字"),把ONBOOT=no,改为ONBOOT=yes 2.重启网络:service network restart…

方法一: 打开my.ini,查找  sql-mode=”STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION” 修改为  sql-mode=”NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION” 然后重启MYSQL . 方法二:  MySQL 5 uses a strict mode which needs to be disabled. In Windows, Goto Start–>Pr…