找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 131|回复: 0

[cms教程] 阿里云提示织梦后台文件media_add.php任意上传漏洞解决办法

[复制链接]

该用户从未签到

发表于 2018-7-19 09:14:08 | 显示全部楼层 |阅读模式

您需要 登录 才可以下载或查看,没有账号?立即注册

×
漏洞描述:
         
        dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】
         
       

                               
登录/注册后可看大图


         
        下面跟大家分享一下这个漏洞的修复方法:
         
        首先找到并打开后台管理dede目录下的media_add.php文件,在里面找到如下代码:
         
                 $fullfilename = $cfg_basedir.$filename;
         
        在其上面添加一段如下代码:      
         
                 if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9,+$#i', trim($filename))){
         
                 ShowMsg("你指定的文件名被系统禁止!",'java script:;');
         
                  exit();
         
                  }
回复

使用道具 举报

网站地图|页面地图|文字地图|Archiver|手机版|小黑屋|找资源 |网站地图

GMT+8, 2024-11-16 23:56

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表