不灭的焱

革命尚未成功,同志仍须努力

作者:php-note.com  发布于:2018-09-10 22:56  分类:编程基础/Web安全 

找到文件 /api/uc.php

修改1:

function updateapps($get, $post) { ... }

修改为:

function updateapps($get, $post) { 
    if ($post['UC_API']) {
        $post['UC_API'] = addslashes($post['UC_API']);
    }

    // ......
} 

 

修改2:

$configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;

大概216行,替换成以下:

$configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i", "define('UC_API', '".addslashes($UC_API)."');", $configfile);

更新代码后,在阿里云后台这条漏洞后面点“验证一下”,即可看到这条漏洞补上就没有了。