织梦模板建站、织梦仿站,推荐选跟版网(专业织梦模板定制下载站),您可以把织梦模板网:加入收藏夹添加到桌面

收藏跟版网图片按钮
跟版网(www.genban.org)是专业的DEDECMS模板下载和定制开发服务商!
用户名: 密码: 验证码: 看不清?点击更换   注册帐号

跟版网-专业只为织梦模板

跟版网 > 织梦教程 > 织梦安全 > media_add.php dedecms后台文件任意上传漏洞的解决方案

media_add.php dedecms后台文件任意上传漏洞的解决方案

作者:DEDECMS建站网 关注: 时间:2016-08-16 10:31

内容详情
   以下内容您可能感兴趣:  
阿里云服务器media_add.php dedecms后台文件任意上传漏洞的解决方案
 
dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限
 
跟版网为大家分享:阿里云服务器media_add.php dedecms后台文件任意上传漏洞修复方法,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。
 
搜索$fullfilename = $cfg_basedir.$filename;(大概在69行左右)
 
替换成
        
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'java script:;'); exit(); } $fullfilename = $cfg_basedir.$filename;
 
跟版网提醒:修改文件前请做好文件备份。将新的media_add.php 文件上传替换阿里云服务器上即可解决此问题。

跟版网-专业织梦模板下载平台,转载请注明出处:http://www.genban.org/news/dedecms-14194.html

     精心为您推荐:  
     邀您关注:  

扫描左侧二维码即可在手机端访问此页面

跟版网官方微信公众账号

扫描左侧二维码即可关注跟版网官方微信公众号,获取金币模板,还可以免费仿站哦!

跟版网官方QQ群

扫描左侧二维码即可加入跟版网官方群,免费获取金币资源并可以与其他织梦高手共同交流学习

跟版网率先实现织梦的三网合一网站,从即日起(2015-10-15)日,跟版网会陆续免费分享一批金币资源给需要的朋友,关注本站认证官方微信公众账号并回复相应的提取码,系统会自动将下载地址发送给您,同时这些金币资源也会分享在官方的QQ群中,欢迎各位朋友踊跃加入。另外本站后期会每周选择大家比较喜欢的网站仿制,并免费分享给大家,还有免费送金币活动哦!

上一篇:怎么确定一个网站是不是用dedecms建的?

下一篇:dedecms SESSION变量覆盖导致SQL注入common.inc.php的解决


赞助广告