腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳等常见问题

[织梦] dedecms织梦uploadsafe.inc.php上传漏洞解决方法

2
回复
2202
查看
[复制链接]

763

主题

777

帖子

3万

积分

董事

Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72

积分
32946
发表于 19-5-12 10:18:35 | 显示全部楼层 |阅读模式      紫钻仅向指定用户开放  
漏洞描述:
dedecms过滤逻辑不严导致上传漏洞。

0 l3 D' T; F) H4 x0 G( P$ `8 H2 A

- U# @6 n& x, Q/ C! N. [9 P                               
登录/注册后可看大图

1 y( p* V' m* P
下面告诉大家解决的办法:
我们找到并打开/include/uploadsafe.inc.php文件,在里面找到如下代码:
  1.        if(empty(${$_key.'_size'}))/ `8 n) {1 H2 v/ u. q/ C1 Q
  2.            {
    1 m9 G: T% @, W- Z
  3.                ${$_key.'_size'} = @filesize($_key);
    % O0 q, B4 }6 ]$ Z3 \* g- x
  4.            }
复制代码

& C7 Y5 f6 [, V
在其下面添加如下代码:
  1.        $imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");
    2 p  d5 o* j# V5 y0 O2 a: B
  2. # H  o; z0 n& B* e5 _4 X
  3.         if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){
    / j' a* X$ ?5 e3 J8 g( R2 H

  4. " A2 n/ T* s& t: _+ [; f. s
  5.         $image_dd = @getimagesize($_key); if($image_dd == false){
    , B/ G( m, R2 D* y9 W
  6. / i4 Z1 P2 W3 A+ r' F* [, [! w2 l# p; e" C' x
  7.                    continue;- U5 R- \+ K, F
  8. . K2 @1 t3 _8 j3 F
  9.                }9 i9 t) E8 ]# m0 d6 ]( B

  10. . a# K/ {% o: W% V& P; d% E
  11.                if (!is_array($image_dd)) {
    , d, J) S% ^& I% `7 t

  12.   c: v0 E; L$ [9 v
  13.                    exit('Upload filetype not allow !');
    1 {. R5 k1 D# h5 w- v1 P
  14. . s5 G3 L" O+ z* {$ b& o
  15.                }
    1 N) v1 I0 u, y* T$ B$ S( K
  16. ) P  V3 p! t! j# }( z- E3 \( {
  17.            }
复制代码
# L+ n4 Q: g! g6 a9 \8 A4 S
然后继续在下面一点的位置找到如下代码:
  1. $image_dd = @getimagesize($_key);
复制代码
9 {$ B9 S* M* \0 q+ O3 \2 W
在其下面添加如下代码:
  1. if($image_dd == false){ continue; }
复制代码
# f) X6 y- g. U& F- l+ U, s
添加完成后保存并替换原来的文件即可,这样阿里云后台就没有这个漏洞提示了。
( P1 _/ ]8 H" N  p" W/ s- G

2 i8 c2 S3 l8 p! C

1

主题

9

帖子

25

积分

1°伸手党

Rank: 2

积分
25
发表于 19-10-8 06:50:26 | 显示全部楼层         
小手一抖,钱钱到手!
回复

使用道具 举报

0

主题

6

帖子

4

积分

1°伸手党

Rank: 2

积分
4
发表于 19-11-2 21:21:43 | 显示全部楼层         
路过,学习下
回复

使用道具 举报

网站简介

球球发,是一家 Discuz! 商业插件、风格模板、网站源码、 Discuz!运营维护技术等于一体的交流分享网站,全站95%的资源都是免费下载,对于资源我们是每天更新,每个亲测资源最新最全---球球发(如果我们有侵犯了您权益的资源请联系我们删除