織夢俠
WWW.2L3.NET

織夢DedeCMS uploadsafe.inc.php上傳漏洞的解決辦法

很多將織夢dedecms安裝在阿里云的ecs的站長每次都會看到阿里云盾就會通知有一個上傳漏洞,引起的文件是/include/uploadsafe.inc.php文件,
原因是dedecms原生提供一個"本地變量注冊"的模擬實現,原則上允許黑客覆蓋任意變量,就會導致被攻擊,下面告訴大家解決的辦法:
我們找到并打開/include/uploadsafe.inc.php文件,在里面找到如下代碼:
  1. if(empty(${$_key.'_size'}))
  2.     {
  3.         ${$_key.'_size'} = @filesize($$_key);
  4.     }
在其下面添加如下代碼:
  1. $imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");
  2. if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){
  3. $image_dd = @getimagesize($$_key); if($image_dd == false){
  4. continue;
  5. }
  6. if (!is_array($image_dd)) {
  7. exit('Upload filetype not allow !');
  8. }
  9. }
然后繼續在下面一點的位置找到如下代碼:
  1. $image_dd = @getimagesize($$_key);
在其下面添加如下代碼:
  1. if($image_dd == false){ continue; }
添加完成后保存并替換原來的文件即可,操作完成后就可以去阿里云后臺驗證這個漏洞了。

轉載請注明文章來自織夢俠[秩名]作者的-織夢DedeCMS uploadsafe.inc.php上傳漏洞的解決辦法
聯系作者
取消
這個作者很懶什么也沒留下!
打賞作者
取消

本文作者無償奉獻,就打賞給我們織夢俠吧!

掃碼支付
掃碼打賞,建議金額1-10元

打開支付寶掃一掃,即可進行掃碼打賞哦

提醒:打賞金額將直接進入對方賬號,無法退款,請您謹慎操作。

蜗牛扑克