腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳等常见问题

[织梦] dedecms织梦uploadsafe.inc.php上传漏洞解决方法

0
回复
1278
查看
[复制链接]

691

主题

705

帖子

3万

积分

董事

Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72

积分
31859
     紫钻仅向指定用户开放  
发表于 19-5-12 10:18:35 | 显示全部楼层 |阅读模式
漏洞描述:
dedecms过滤逻辑不严导致上传漏洞。

( q! E) _0 z3 I3 n
1 S: l# [4 j0 {' ?& A9 p1 h; X5 c
下面告诉大家解决的办法:
我们找到并打开/include/uploadsafe.inc.php文件,在里面找到如下代码:
  1.        if(empty(${$_key.'_size'}))' v) u( L) U) q) K- T( H
  2.            {' x4 e! J* d9 w$ a( s" [
  3.                ${$_key.'_size'} = @filesize($_key);
    7 t4 A, T1 R2 [9 ?1 O1 a" \! B+ c
  4.            }
复制代码
" F# T1 M  K/ q' q
在其下面添加如下代码:
  1.        $imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");, R5 k8 |$ F' U$ N* A. W4 t+ E1 n

  2. : ]8 t7 i) M; {3 f$ S
  3.         if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){+ b6 A% t0 w3 F8 j& {# a
  4. 8 X( N. Q) w* ^5 ^  o/ l" S
  5.         $image_dd = @getimagesize($_key); if($image_dd == false){9 c' I" l& \3 k( W+ B

  6. : B9 b9 a( k( A" b0 ?
  7.                    continue;
    1 [6 t# v3 r2 n2 |0 A+ `  a6 n7 l1 ]

  8. 6 r# I7 i+ ^% u; ~3 H1 x
  9.                }4 o- u! k+ K# C( Y/ z. j' h: u
  10. 8 v- s" m; O7 M, i% z' \/ h! n6 h
  11.                if (!is_array($image_dd)) {
    ( P; c8 O7 h1 @+ [, C9 T
  12. 0 x) X4 Y' l3 {; C6 Q
  13.                    exit('Upload filetype not allow !');
    , ?# O) E' q0 o( O2 z' Y. }; ?
  14. - l2 V4 F+ V  Z4 e8 t+ B
  15.                }4 |, b: e5 k. ?# F
  16. 4 i, f' K& ?0 B) p
  17.            }
复制代码
0 P" h- D$ e6 m7 s0 n
然后继续在下面一点的位置找到如下代码:
  1. $image_dd = @getimagesize($_key);
复制代码

$ \, T- X& Y4 ]: C  {1 F& p5 ]: _/ S
在其下面添加如下代码:
  1. if($image_dd == false){ continue; }
复制代码
% r* |- c$ Q; _) R1 E7 E3 h
添加完成后保存并替换原来的文件即可,这样阿里云后台就没有这个漏洞提示了。

$ {  `% @9 U! e. {9 n

& t5 {0 }% e; `1 G# r+ V3 s9 E/ F

qiuqiufa.com

网站简介

球球发,是一家 Discuz! 商业插件、风格模板、网站源码、 Discuz!运营维护技术等于一体的交流分享网站,全站95%的资源都是免费下载,对于资源我们是每天更新,每个亲测资源最新最全---球球发(如果我们有侵犯了您权益的资源请联系我们删除