dedecms v5.7 CSRF保护措施绕过漏洞

：

今日，在检查网站及服务器安全问题的时候，发现阿里云后台一直提示有一个“dedecms v5.7 CSRF保护措施绕过漏洞”影响网站安全，需要紧急修复，如下图所示：

于是在网上查询了一番，便找到了修复方法，在此，我便借助马海祥博客的平台将修复方法分享一下给大家，具体如下：

漏洞名称：dedecms v5.7 CSRF保护措施绕过漏洞

危险等级：★★★★★（高危）

漏洞文件：/dede/config.php

漏洞描述：dedecms最新版（20171228更新），增加了部分函数对CSRF漏洞的检查，然而对函数输出校验不当导致可以传入恶意数组绕过CSRF防御。

修复方法：

修改这个漏洞也是很简单，主要是文件/dede/config.php 或者 /你的后台名字/config.php的修改。

查找并打开/dede/config.php 文件，大概在67行或者搜索代码：

if(!isset($token) || strcasecmp($token, $_SESSION['token']) != 0){

修改为：

if(!isset($token) || strcasecmp($token, $_SESSION['token']) !== 0){

如下图所示：

说明：自行采取了底层/框架统一修复、或者使用了其他的修复方案，可能会导致您虽然已经修复了该漏洞，云盾依然报告存在漏洞，遇到该情况可选择忽略该漏洞提示。

修改之后，上传覆盖，将新的config.php文件上传替换阿里云服务器上，在阿里云后台验证通过，即可解决此漏洞提示问题！

提醒大家一点，作为一个非资深技术人员，在修改网站文件前请先做好文件备份，以免修改错误导致无法恢复，影响网站的正常使用。

再者就是网站出现了漏洞提示，一定要记得及时的修复，以免被不法之人利用挂马，导致网站被降权，到时就追悔莫及了！