阿裡雲盾後台報織夢内容管理系統漏洞: 會員中心注入漏洞, 實際是一個任意文件類型的上傳處理不當所導致的, 如何解決呢?
正常来说, 后台默认文件夹都叫dede, 那么出问题的文件默认位置应该在网站根目录下/dede/media_add.php下面
如果您之前害怕别人随随便便就进了后台, 改了文件夹名字, 那么把dede这个名字对应换掉即可。总之找到这个文件, 备份一档,再拿个编辑器打开。
找到其中一段代码
$fullfilename = $cfg_basedir.$filename;
在这一行的上面, 增加一段正则判断式, 屏蔽掉一些动态文件的上传, 具体代码如下:
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg('你指定的文件名被系统禁止!','java script:;');
exit();
}这样一来坏蛋就没办法利用这个漏洞来坏你。
有用
0
沒用
1
開心
0
憤怒
0
可憐
0
1.如文章侵犯了您的版權,請發郵件通知本站,該文章將在24小時内刪除;
2.本站標注原創的文章,轉發時煩請注明來源;
3.交流群: 2702237 13835667
mac開發接入微信公衆號接口返回報錯 cURL error 56: SSLRead() return error -9806
PHP的換行符是什麽
pecl安裝程序時報錯Array and string offset access syntax with curly braces is no longer supported
由於商家傳入的H5交易參數有誤,該筆交易暫時無法完成,請聯繫商家解決
