网站迁移到阿里云之后,一直提示有一个漏洞,如下: 漏洞名称:dedecms后台文件任意上传漏洞 补丁文件:media_add.php 漏洞描述:dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。 修改这个漏洞也是很简单,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php的修改。 解决方法: 1、打开dede/media_add.php文件,找到第69行或者搜索代码: $fullfilename = $cfg_basedir.$filename; 修改为: if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename; 修改文件前请做好文件备份,将新的media_add.php文件上传替换阿里云服务器上即可解决此问题。 作者:DEDE58.COM 关注:
1742
时间:2018-09-08 09:35 ☉首先声明,只要是我们的vip会员所有源码均可以免费下载,不做任何限制(了解更多)
☉本站的源码不会像其它下载站一样植入大量的广告。为了更好的用户体验以后坚持不打水印 ☉本站只提供精品织梦源码,源码在于可用,不在多!!希望在这里找到你合适的。 ☉本站提供的整站织梦程序,均带数据及演示地址。可以在任一源码详情页查看演示地址 ☉本站所有资源(包括源码、模板、素材、特效等)仅供学习与参考,请勿用于商业用途。 ☉如有其他问题,请加网站客服QQ(970003436)进行交流。 |
|