阿裡雲盾後台報織夢内容管理系統漏洞: 會員中心注入漏洞, 實際是一個任意文档類型的上傳處理不當所導致的, 如何解決呢?
正常來說, 後台默認文档夾都叫dede, 那麽出問題的文档默認位置應該在網站根目錄下/dede/media_add.php下面
如果您之前害怕別人隨隨便便就進了後台, 改了文档夾名字, 那麽把dede這個名字對應換掉即可。總之找到這個文档, 備份一档,再拿個編輯器打開。
找到其中一段代碼
$fullfilename = $cfg_basedir.$filename;
在這一行的上面, 增加一段正則判斷式, 屏蔽掉一些動態文档的上傳, 具體代碼如下:
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg('你指定的文档名被系統禁止!','java script:;');
exit();
}這樣一來壞蛋就沒辦法利用這個漏洞來壞你。
有用
0
沒用
1
開心
0
憤怒
0
可憐
0
1.如文章侵犯了您的版權,請發郵件通知本站,該文章將在24小時内刪除;
2.本站標注原創的文章,轉發時煩請注明來源;
3.交流群: 2702237 13835667
mac開發接入微信公衆號接口返回報錯 cURL error 56: SSLRead() return error -9806
PHP的換行符是什麽
pecl安裝程序時報錯Array and string offset access syntax with curly braces is no longer supported
由於商家傳入的H5交易參數有誤,該筆交易暫時無法完成,請聯繫商家解決
