很多將織夢(mèng)dedecms安裝在阿里云的ecs的站長(zhǎng)每次都會(huì)看到阿里云盾就會(huì)通知有一個(gè)上傳漏洞,引起的文件是/include/uploadsafe.inc.php文件,
原因是dedecms原生提供一個(gè)"本地變量注冊(cè)"的模擬實(shí)現(xiàn),原則上允許黑客覆蓋任意變量,就會(huì)導(dǎo)致被攻擊,下面告訴大家解決的辦法:
我們找到并打開(kāi)/include/uploadsafe.inc.php文件,在里面找到如下代碼:
if(empty(${$_key.'_size'})) { ${$_key.'_size'} = @filesize($$_key); } |
在其下面添加如下代碼:
$imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp"); if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){ $image_dd = @getimagesize($$_key); if($image_dd == false){ continue; } if (!is_array($image_dd)) { exit('Upload filetype not allow !'); } } |
版權(quán)聲明: 本站資源均來(lái)自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!
轉(zhuǎn)載請(qǐng)注明: 阿里云提示織夢(mèng)DedeCMS uploadsafe.inc.php上傳漏洞的解