花魁直播高品质美女在线视频互动社区 - 花魁直播官方版

 歡迎來(lái)到素材無(wú)憂網(wǎng),按 + 收藏我們
登錄 注冊(cè) 退出 找回密碼

阿里云提示織夢(mèng)DedeCMS uploadsafe.inc.php上傳漏洞的解

時(shí)間: 2018-12-01 10:11 閱讀: 作者:素材無(wú)憂網(wǎng)

很多將織夢(mèng)dedecms安裝在阿里云的ecs的站長(zhǎng)每次都會(huì)看到阿里云盾就會(huì)通知有一個(gè)上傳漏洞,引起的文件是/include/uploadsafe.inc.php文件,

原因是dedecms原生提供一個(gè)"本地變量注冊(cè)"的模擬實(shí)現(xiàn),原則上允許黑客覆蓋任意變量,就會(huì)導(dǎo)致被攻擊,下面告訴大家解決的辦法:

我們找到并打開(kāi)/include/uploadsafe.inc.php文件,在里面找到如下代碼:

if(empty(${$_key.'_size'}))
    {
        ${$_key.'_size'} = @filesize($$_key);
    }

在其下面添加如下代碼:

$imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");
	if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){
		$image_dd = @getimagesize($$_key); if($image_dd == false){
			continue;
		}
		if (!is_array($image_dd)) {
			exit('Upload filetype not allow !');
		}
	}

版權(quán)聲明: 本站資源均來(lái)自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!

轉(zhuǎn)載請(qǐng)注明: 阿里云提示織夢(mèng)DedeCMS uploadsafe.inc.php上傳漏洞的解

標(biāo)簽:  
相關(guān)文章
模板推薦