闲来没事,下载了DeDeBIZ的最新版本:V6.3.0(2024-01-01)时发布的。发现,登录不了会员中心,显示登录成功后,又回到了登录界面。于是,我就顺着问题的来源,趴一下到底为何会这样。
测试过程
说下我测试的过程,在 /user/index.php 中 $menutype = 'mydede'; 下,敲个回车,加入代码
echo (GetCookie('DedeUserID') == '') ? '未登录' : '会员ID:'.GetCookie('DedeUserID');
然后打开 /user/index.php 直接显示 未登录 这就奇怪了,原来是,登录前,登录后,都没获取到Cookie值啊。
打开 /system/helpers/cookie.helper.php 文件后,赫然发现,设置Cookie记录和清除Cookie记录,这两个函数被改了。以我对天涯的了解,一年不更新,也懒得测试的人,总喜欢挖坑给小白跳。经鉴定,这个代码,绝对是出自天涯之手。
修复方式
修复方法很简单,就是下载最新版的,和下载之前的旧版本的,将两个文件相互替换一下就好了。
看这里:https://www.zhelixie.com/DedeBIZ/DedeV6/releases 历史版本发布记录。
最新版:V6.3.0(2024-01-01)时发布的,下载链接:https://www.zhelixie.com/DedeBIZ/DedeV6/archive/6.3.0.zip
上一版:v6.2.12(发布时间不明),下载链接:https://www.zhelixie.com/DedeBIZ/DedeV6/archive/6.2.12.zip
文件替换
打开 v6.2.12版的 /system/helpers/cookie.helper.php 与新版V6.3.0文件替换。替换完成后就可以登录了,也可以显示会员ID了。对了,第一步的测试代码记得删掉。
写在最后
DeDeBIZ频繁更新,事出反常必有妖,打开最新版一看,全部都是简单的符号、文字替换,比如:把你改为您,把5秒改为3秒,把双引号改为单引号,麻辣戈壁的,哪个憨子吃饱了闲的,把整个目录都翻新一遍,最后,啥也不是,啥都没改。
DeDeBIZ啊,都快被玩坏了,漏洞真的是改麻了。用一句话总结一下:文件不多,但漏洞不少,用着实在是考验小白。
本文结束
评论专区
发表评论
评论列表(无评论)