注册 登录
  • 为了网站更好的发展,多酷将采取邀请码注册,大部分资源及福利需要登陆后浏览和下载!邀请码获取方法
  • 本站开放邀请码注册,QQ登录和微博登录以禁止使用,以前直接注册的用户不受影响,有疑问请加群咨询!多酷资源
  • 测试开通淘宝低价商品采集,有需要可以直接留言,定向采集分类!好店(www.haoshops.com)

【建站笔记】织梦后台文件任意上传漏洞的解决方案—多酷分享

建站笔记 DuoCooL 871次浏览 已收录 0个评论 扫描二维码
阿里云服务器media_add.php dedecms后台文件任意上传漏洞的解决方案
dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限
阿里云服务器media_add.php dedecms后台文件任意上传漏洞修复方法,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。
搜索
$fullfilename = $cfg_basedir.$filename;

(大概在69行左右)

替换成
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'java script:;'); exit(); } $fullfilename = $cfg_basedir.$filename;

本站分享的所有资源均才来自网络,分享给大家做研究和测试使用,请在下载后24小时内删除,如果侵犯了您的权益请来信告知,我们会尽快处理!如资源失效请联系文章底部的作者,转载请注明出处,谢谢合作---多酷分享!【建站笔记】织梦后台文件任意上传漏洞的解决方案—多酷分享
喜欢 (0)
[赞助本站]
分享 (0)
DuoCooL
关于作者:
做网站纯属个人爱好,分享大家喜欢的东西~

您必须 登录 才能发表评论!