腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳等常见问题

[织梦] dedecms织梦uploadsafe.inc.php上传漏洞解决方法

2
回复
2616
查看
[复制链接]

765

主题

779

帖子

3万

积分

董事

Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72Rank: 72

积分
33029
发表于 19-5-12 10:18:35 | 显示全部楼层 |阅读模式      紫钻仅向指定用户开放  
漏洞描述:
dedecms过滤逻辑不严导致上传漏洞。
  G7 U" O' `; i$ P& I7 r+ n% u

2 v+ [; ]' J, v# k* k# J; e                               
登录/注册后可看大图
; a! ?% `' H; B8 w! g
下面告诉大家解决的办法:
我们找到并打开/include/uploadsafe.inc.php文件,在里面找到如下代码:
  1.        if(empty(${$_key.'_size'}))
      |0 @& o7 B; ?: L* W- h1 @2 u& Y$ q
  2.            {' G* x& L! d2 t. O& a: ?% R( D
  3.                ${$_key.'_size'} = @filesize($_key);# e$ m: \9 F7 ^: w: I# J3 `! D
  4.            }
复制代码
% h4 x. K8 r8 K3 H+ J2 V
在其下面添加如下代码:
  1.        $imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");/ X" r! G# L+ u7 y6 \

  2. & M; P7 T/ b& ~1 d& t  r, M" p4 }
  3.         if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){
    - f! {) Q- _% W' T# v
  4. 5 ]7 |4 h' @& {/ p. n
  5.         $image_dd = @getimagesize($_key); if($image_dd == false){
      g/ ], Q2 z6 ]9 Y8 H/ p; o

  6. 7 u- ?( F% D9 g
  7.                    continue;
    , v; y  U! o" q! M: N
  8. ' j: V1 y/ ~9 u1 B
  9.                }
    - @. l+ I* q% Q+ c3 Z
  10. 5 l6 E  Q: ]% i! _( z$ }/ G$ z
  11.                if (!is_array($image_dd)) {1 K& j' Y& n3 h8 H" @2 ~% Q" ^+ z: q' K* `
  12. ! R* M; E! u9 S3 n2 l% B$ C
  13.                    exit('Upload filetype not allow !');! y$ S6 z& I+ Q

  14. ! b5 \6 z1 }# w1 e9 Y/ H+ {
  15.                }
    9 v# V5 r& k( o( C5 l3 h
  16. ( b% w. F9 J0 Y2 F( @
  17.            }
复制代码
1 D! ^1 M, ~6 [9 j6 Z
然后继续在下面一点的位置找到如下代码:
  1. $image_dd = @getimagesize($_key);
复制代码

# o* o4 d# }* G
在其下面添加如下代码:
  1. if($image_dd == false){ continue; }
复制代码

: I) {% v* b  e: G5 v! V9 Z9 a8 A
添加完成后保存并替换原来的文件即可,这样阿里云后台就没有这个漏洞提示了。
2 I4 n! _1 H- b; Y0 a

" q' N3 V4 j8 f9 m7 d& g$ z$ W

1

主题

10

帖子

25

积分

1°伸手党

Rank: 2

积分
25
发表于 19-10-8 06:50:26 | 显示全部楼层         
小手一抖,钱钱到手!
回复

使用道具 举报

0

主题

11

帖子

4

积分

1°伸手党

Rank: 2

积分
4
发表于 19-11-2 21:21:43 | 显示全部楼层         
路过,学习下
回复

使用道具 举报

网站简介

球球发,是一家 Discuz! 商业插件、风格模板、网站源码、 Discuz!运营维护技术等于一体的交流分享网站,全站95%的资源都是免费下载,对于资源我们是每天更新,每个亲测资源最新最全---球球发(如果我们有侵犯了您权益的资源请联系我们删除