一个资源分享、信息整合的综合性站点。
标题:
织梦后台文件media_add.php任意上传漏洞的解决方法
[打印本页]
作者:
树苗收集系
时间:
2020-9-12 15:36
标题:
织梦后台文件media_add.php任意上传漏洞的解决方法
edecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限
media_add.php dedecms后台文件任意上传漏洞修复方法,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。
搜索
$fullfilename = $cfg_basedir.$filename;
复制代码
(大概在69行左右)
替换成
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系统禁止!",'java script:;');
exit();
}
$fullfilename = $cfg_basedir.$filename;
复制代码
修改文件前请做好文件备份。将新的media_add.php 文件上传替换阿里云服务器上即可解决此问题。
作者:
没有糖吃的孩子
时间:
2020-9-12 22:02
前来围观,LZ好样的!
作者:
采女孩的大蘑菇
时间:
2020-9-15 10:28
前来支持~~~~~~~~~~~~~~~~~~~
作者:
淡看红尘轻笑孤
时间:
2020-9-17 22:37
必须支持。。。。。。。
作者:
柠檬树上的少女
时间:
2020-9-27 13:42
好像还不错!
作者:
我算哪根葱
时间:
2020-12-20 15:45
抢楼了,前排第一次啊
欢迎光临 一个资源分享、信息整合的综合性站点。 (https://sorv.cn/)
Powered by Discuz! X3.4