發(fā)表日期:2018-08 文章編輯:小燈 瀏覽次數(shù):2892
很多將織夢dedecms安裝在阿里云的ecs的站長每次都會(huì)看到阿里云盾就會(huì)通知有一個(gè)上傳漏洞,引起的文件是/include/uploadsafe.inc.php文件,
原因是dedecms原生提供一個(gè)"本地變量注冊(cè)"的模擬實(shí)現(xiàn),原則上允許黑客覆蓋任意變量,就會(huì)導(dǎo)致被攻擊,下面告訴大家解決的辦法:
我們找到并打開/include/uploadsafe.inc.php文件,在里面找到如下代碼:
if(empty(${$_key.'_size'})){${$_key.'_size'} = @filesize($$_key);} |
在其下面添加如下代碼:
$imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){$image_dd = @getimagesize($$_key); if($image_dd == false){continue;}if (!is_array($image_dd)) {exit('Upload filetype not allow !');}} |
日期:2018-09 瀏覽次數(shù):4265
日期:2018-09 瀏覽次數(shù):2918
日期:2018-09 瀏覽次數(shù):3768
日期:2018-09 瀏覽次數(shù):3705
日期:2018-09 瀏覽次數(shù):3269
日期:2018-09 瀏覽次數(shù):3667
日期:2018-09 瀏覽次數(shù):3108
日期:2018-09 瀏覽次數(shù):3343
日期:2018-09 瀏覽次數(shù):3114
日期:2018-09 瀏覽次數(shù):3147
日期:2018-09 瀏覽次數(shù):2870
日期:2018-09 瀏覽次數(shù):3394
日期:2018-09 瀏覽次數(shù):3411
日期:2018-09 瀏覽次數(shù):2982
日期:2018-09 瀏覽次數(shù):2917
日期:2018-09 瀏覽次數(shù):3671
日期:2018-08 瀏覽次數(shù):2879
日期:2018-08 瀏覽次數(shù):3033
日期:2018-08 瀏覽次數(shù):2867
日期:2018-08 瀏覽次數(shù):2853
日期:2018-08 瀏覽次數(shù):2891
日期:2018-08 瀏覽次數(shù):2668
日期:2018-08 瀏覽次數(shù):2786
日期:2018-08 瀏覽次數(shù):2717
日期:2018-08 瀏覽次數(shù):2747
日期:2018-08 瀏覽次數(shù):2901
日期:2018-08 瀏覽次數(shù):2988
日期:2018-08 瀏覽次數(shù):3277
日期:2018-08 瀏覽次數(shù):2823
日期:2018-08 瀏覽次數(shù):3122
Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.