织梦DedeCMS select_soft_post.php任意文件上传漏洞解决办法

2019-08-01 织梦安全跟版网

最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞，引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉

最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞，引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。

原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉，所以我们需要手动添加代码过滤，具体操作方法如下：

我们找到并打开/include/dialog/select_soft_post.php文件，在里面找到如下代码：

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

在其上面添加如下代码：

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系统禁止！",'javascript:;');
exit();
}

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除！

上一篇：织梦被挂了黑链的可能原因和排查清除办法下一篇：几条实用的预防Dede织梦网站被挂马方法

相关文档推荐

17个防止dedeCMS织梦网站被黑挂马的小技巧

dede织梦cms系统的程序存在漏洞，黑客攻击方法层出不穷，导致网站经常被黑，被百度安全中心等拦截，影响排名和流量，让站长非常头疼，下面总结一些防止dede织梦cms系统被攻击设置的方法，可有效的防止织梦系统被挂马，仅供各位站长参考。 1.安装时数据库的前

织梦dedecms如何更改plus文件夹名称

dedecms有很多漏洞都是出自plus文件夹下的文件，网上有很多挂马工具都有自动扫描网站PLUS目录功能用来匹配漏洞文件，因此为了避免被漏洞入侵，我们可以重命名PLUS文件夹，并将里面无用的文件都清理干净，DEDECMS重命名PLUS目录需要改动对应关系，方法如下打

几条实用的预防Dede织梦网站被挂马方法

对刚学习dedecms织梦的同学，当在本地调试好网站上传到服务器后，在没有采取防护的情况下，网站很容易被挂马，挂马后，网站首页会被篡改，或者网站被恶意跳转到别的不相关的网站上。所以为了避免这种情况的发生，小编整理了几条织梦网站仿挂马的建议，希望能

织梦被挂了黑链的可能原因和排查清除办法

经常听一些身边的朋友说，织梦的安全性太差了，网站刚上线就被黑了。其实我要说的是，并不是织梦的安全性差，大部分被黑的网站很大一部分是自身没有做好安全的设置。就比如之前有一些客户，跟版网小编帮客户装好网站后，还特意提示要及时修改账户密码，客户

dedecms织梦 /member/reg_new.php SQL注入漏洞

1. 漏洞描述 Dedecms会员中心注入漏洞 2. 漏洞触发条件 http://127.0.0.1/dedecms5.7/member/reg_new.php?dopost=regbaseamp;step=1amp;mtype=%B8%F6%C8%CBamp;mtype=%B8%F6%C8%CBamp;userid=123asd123amp;uname=12asd13123amp;userpwd=123123amp;userpwdok=

织梦dedecms百度快照劫持注入代码防范

织梦百度快照劫持注入代码防范及修正，很多站长做站的过程中，都碰过百度快照被劫持等问题，明明已经修复模板文件了，还是没有更新回正常的快照，以织梦系统为例，往往根目录/index.php也被植入恶意代码比如： ?phpif(strpos($_SERVER[HTTP_USER_AGENT],sp

栏目导航

织梦安装使用织梦二次开发织梦优化织梦标签 dedecms教程织梦安全