• 欢迎访问太原SEO教程网,SEO免费学习教程,网站SEM推广教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎来到太原SEO教程网 QQ群

实测解决dedecms后台文件任意上传漏洞

SEO建站 ralap 8个月前 (03-14) 28次浏览 未收录 0个评论

阿里云提示织梦网站后台任意文件上传漏洞,今天为大家分享一下解决方法。

实测解决dedecms后台文件任意上传漏洞

dedecms后台文件任意上传漏洞

dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。

解决方法,首先找到,后台文件,默认是dede,如果修改了的话,找到对应的文件下,然后找到media_add.php文件,然后按照以下方法修改

首先搜索$fullfilename = $cfg_basedir.$filename;
然后直接替换为以下代码
if (preg_match(‘#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i’, trim($filename))) { ShowMsg(“你指定的文件名被系统禁止!”,’java script:;’); exit(); } $fullfilename = $cfg_basedir.$filename;

修改完成,保存,然后到阿里云验证以下,发现网站漏洞已经不再了。

有什么问题,可以直接联系站长哦!


太原SEO教程网 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:实测解决dedecms后台文件任意上传漏洞
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址