代理加盟 2019全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: cf阿拉维斯如何钻bug > 織夢大學 > 織夢安全 >

阿拉维斯vs马竞结果:dedecms后臺文件任意上傳漏洞 media_add.php 修復

來源:未知 發布時間:2019-09-09熱度: ℃我要評論
dedecms早期版本后臺存在大量的富文本編輯器,該控件提供了一些文件上傳接口,同時dedecms對上傳文件的后綴類型未進行嚴格的限制,這導致了黑客可以上傳WEBSHELL,獲取網站后臺權限。 織夢在安裝到阿里云服務器后阿里云后臺會提示media_add.php后臺文件任意上傳漏洞,...

cf阿拉维斯如何钻bug www.rxtxrm.com.cn 織夢模板免費下載,無需注冊無需充值

dedecms早期版本后臺存在大量的富文本編輯器,該控件提供了一些文件上傳接口,同時dedecms對上傳文件的后綴類型未進行嚴格的限制,這導致了黑客可以上傳WEBSHELL,獲取網站后臺權限。

織夢在安裝到阿里云服務器后阿里云后臺會提示media_add.php后臺文件任意上傳漏洞,引起的文件是后臺管理目錄下的media_add.php文件,下面跟大家分享一下這個漏洞的修復方法:

一、找到代碼 require_once(DEDEINC."/image.func.php");  大概20行

在其上面增加:csrf_check();

如圖所示:

dedecms后臺文件任意上傳漏洞 media_add.php 修復

二:找到代碼:$filename = $savePath."/".$filename; 大概64行

在其下面增加如下代碼:

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("秀站網提醒您文件已被禁止上傳",'javascript:;'); exit(); } 

如圖所示:

dedecms后臺文件任意上傳漏洞 media_add.php 修復

本文地址://www.rxtxrm.com.cn/dedecms_aq/1753.html

    發表評論

    評論列表(條)