Drupal核心路径泄露漏洞

Drupal 7.x 安全修复
最新推荐文章于 2024-04-22 23:56:52 发布
转载 最新推荐文章于 2024-04-22 23:56:52 发布 · 1.5k 阅读 · 0
文章标签:

#path #search

本文介绍了一个针对Drupal 7.x版本的安全修复方法,通过修改路径处理逻辑避免潜在的安全风险。具体措施包括对输入路径进行规范化处理,并检查是否为数组类型以防止恶意操作。

版本:Drupal Drupal 7.x

http://localhost/?q[]=x


-------------------------------------


Hotfix:


Search for:


$path = trim($path, '/');


And add the following line above:


if(is_array($path)) { die(); }

web漏洞检测项
千寻的博客
05-22 839
文章目录常规web漏洞检查列表注入漏洞XSS安全配置错误登录认证缺陷敏感信息泄露权限控制不严格跨站请求伪造 (CSRF)使用了存在漏洞的组件其他类型漏洞其他漏洞已公开高危漏洞业务逻辑漏洞检测列表登录注册密码找回购买支付充值抽奖/活动代金卷/优惠卷订单账户用户信息后台管理业务查询业务查询传输过程评论第三方商家 常规web漏洞检查列表 注入漏洞 HTML注入-反射性(GET)(POST)(Current URL) HTML注入-存储型 iFrame注入 LDAP注入(Search) 邮件Header注入 PH
一次Drupal的渗透测试
BROTHERYY的博客
03-19 2050
此次评估的环境为:1台web服务器 服务需求:该服务器对外提供web服务 网络实际应用:10.35.0.211 实际ip分配:10.35.0.245 自身环境为:win7+kali 使用工具:whatweb、nmap、msf、nc 以下所有操作都是在得到授权后进行 —————————————————————————————————————— 首先进行信息搜集,使用whatweb查看网站信息 将所...
服务器路径泄露漏洞
linhl_sdysit的博客
12-17 2230
tornado服务器路径泄露漏洞漏洞一般是由于目标web应用没有处理好应用错误信息导致的。如果攻击者获取到这些信息,可以了解目标服务器目录结构,并通过利用该信息,再配合其它漏洞对目标服务器实施进一步的攻击。 Traceback (most recent call last): File "/usr/local/python27/lib/python2.7/site-packages/tornado/web.py", line 1590, in _execute result = method
phpMyAdmin 完整路径泄露漏洞
weixin_30508241的博客
08-10 444
漏洞名称: phpMyAdmin 完整路径泄露漏洞 CNNVD编号: CNNVD-201307-650 发布时间: 2013-08-09 更新时间: 2013-08-09 危害等级: 中危 漏洞类型: 信息泄露 威胁类型: 远程 CVE编号: CVE-2013-4998 ...
Drupal官方近期修复了可导致黑客接管网站的高危漏洞
NOSEC2019的博客
07-18 262
近期,Drupal CMS团队发布了一个安全更新,以解决CMS核心组件中的一个高危的权限绕过漏洞,该漏洞可导致攻击者直接接管目标站点,被标记为CVE-2019-6342。 根据官方的安全建议,只有少数Drupal CMS网站受到影响,因为该漏洞只影响Drupal 8.7.4,Drupal 8.7.3以及更早版本,Drupal 8.6.x以及更早版本。Drupal 7.x不受影响。 “在Drupa...
phpMyAdmin 完整路径泄露漏洞2
weixin_30627381的博客
08-10 359
漏洞名称: phpMyAdmin 完整路径泄露漏洞 CNNVD编号: CNNVD-201307-651 发布时间: 2013-08-09 更新时间: 2013-08-09 危害等级: 中危 漏洞类型: 信息泄露 威胁类型: 远程 CVE编号: CVE-2013-4999 ...
php执行路径漏洞,phpMyAdmin phpmyadmin.css.php完全路径泄露漏洞
weixin_42396502的博客
03-23 285
发布日期:2011-10-17更新日期:2011-10-18受影响系统:phpMyAdmin phpMyAdmin 3.4.5描述:--------------------------------------------------------------------------------phpMyAdmin是一个用PHP编写的,可以通过 web 方式控制和操作 MySQL 数据库。phpMyA...
ThinkPHP及Drupal漏洞合集
小小猪的博客
08-19 1050
ThinkPHP漏洞 ThinkPHP2.x远程代码执行漏洞 漏洞复现 使用payload 直接访问,即可执行phpinfo(): http://your-ip:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D 利用该漏洞getshell,下面给出一个能够直接蚁剑(菜刀)连接的payload: /index.php?s=a/b/c/${@print(eval($_POST[1]))} ThinkPHP3.2.3 SQL注入漏.
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
最新发布
记录开发和安全学习过程中的点点滴滴
04-22 4274
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
PHP常用框架及漏洞
小小猪的博客
08-14 3550
PHP常用框架及漏洞 PHP框架 laraval介绍: Laravel基于MVC架构,可以满足诸如事件处理、用户身份验证等各种需求,同时通过包管理实现模块化和可扩展的代码,并且对数据库管理有着健壮的支持。 漏洞: 1. Laravel 配置文件泄露 2. Laravel <= 8.4.2 存在远程代码执行漏洞 3. Laravel 存在SQL注入漏洞 4. Laravel 反序列化漏洞 CakePHP 介绍: ...
0、漏洞说明.docx
04-21
8. Atlassian Confluence路径穿越与命令执行漏洞(CVE-2019-3396):这个漏洞允许攻击者通过构造特殊输入,实现路径穿越并执行服务器上的任意命令。 9. Couchdb垂直权限绕过漏洞(CVE-2017-12635):CouchDB数据库...
开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞
smellycat000的专栏
09-18 598
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周,开源的内容管理系统Drupal修复了多个信息泄露和跨站点脚本(XSS)漏洞,其中包括一个“严重”级别的漏洞。其...
PHP网站路径泄漏,WordPress出现的绝对路径泄露漏洞及修复方法
weixin_39863161的博客
03-19 576
现在很多朋友开始使用360网站卫士来检测网站漏洞,我刚刚尝试了一下,耗费时间大概需要50分钟,发现基于WordPress 的站点还是会检测出一些漏洞,虽然不知道这些漏洞是否是高危漏洞,而且由于本人对这块没有研究,不知道是否会影响网站的安全和运行,但是还是想完善这些检测出来的漏洞。只要检测出来的绝对路径漏洞,我们就可以相对这些文件来完善修复这些漏洞。下面我就针对自己的网站检测出来的漏洞来说说。漏洞...
文件绝对路径泄露
fansenliangren的博客
11-22 4535
在网站系统对用户提交的非法请求回复错误信息,或HTML、JaveScript等源码书写疏忽等情况下,易发生服务器系统某些文件的绝对路径泄露。通过制造报错使应用泄露出应用在主机中的绝对地址路径,攻击者可以通过泄露的绝对路径,分析网站结构,为后续上传恶意后门(如webshell等)创造了条件。
drupal 后台路径
weixin_34061555的博客
01-14 1121
1.没开启简洁链接: ?q=userindex.php?q=user2.开启简洁链接/user 转载于:https://blog.51cto.com/3055923/1603754
drupal7获取当前页面的路径
dianai7709的博客
07-19 223
$_GET['q']; 转载于:https://www.cnblogs.com/zjfblog/p/7204411.html
drupal7 路径转换函数
duotuu的专栏
05-09 677
把类似于 public://xx.xx 转换成正常的URL file_create_url($node->field_swf_upload['und'][0]['uri'])
云客Drupal源码分析之系统出入站路径处理
云客的技术博客【云游天下 做客四方】
11-09 543
drupal可以让你使用任意URL路径来访问某个页面,从而提供良好的SEO支持和语义性,如此强大的功能是由路径处理子系统完成的,在讲解她之前需要明白一个概念:“内部路径”,也就是路由中指定的路径,任意进来的路径都会被路径处理系统转化为内部路径(非可路由内部url除外),从而让系统内部有一个统一的环境,面向内部路径即可,而不用考虑用户到底使用的什么路径路径处理系统实现了访问路径和系统实现的解耦,路...
辛苦整理的各类网站系统暴物理路径漏洞
weixin_30460489的博客
04-27 892
Phpmyadmin暴路径:phpmyadmin/libraries/select_lang.lib.php 得到物理路径phpmyadmin/themes/darkblue_orange/layout.inc.phpphpmyadmin/index.php?lang[]=1phpMyAdmin/phpinfo.phpphpmyadmin/libraries/mcrypt.lib.phpph...
中文网站特色路径字典,助力地址爆破与安全测试
2. 特色路径整理:这部分包含了诸如数据库文件(如mdb文件)等特殊文件的路径,这些文件可能会因为配置不当或安全漏洞而被未经授权的用户访问,从而可能导致信息泄露或系统入侵。 3. 针对性:由于该字典专门针对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值