欢迎光临我们的网站,我们提供:网站建设,织梦模板,小程序开发,微信公众号开发,dede模板,flash网站,深圳网站建设,手机网站模板,discuz模板等

云车网,深圳网站建设,河南漯河网站建设,四川德阳网站建设,dede模板,dz模板,帝国cms模板,wordpress主题模板,深圳小程序

后台文件任意上传漏洞dede/media_add.php修复方法

点击下载次数:

漏洞名称:dedecms后台文件任意上传漏洞

漏洞文件:media_add.php

更新时间:2016-07-29

漏洞描述:dedecms早期版本的后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。


修复方法:

打开/dede/media_add.php(dede是你的后台文件夹,请自行修改)

搜索(大概在69行左右):

$fullfilename $cfg_basedir.$filename;

在上面增加一句:

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit();}


唯美二维码生成器
相关文章推荐:

分类:

相关:


欢迎工作室加入

  • 广东.深圳
    客  服:158-9975-0475  
    地  址:广东省深圳市龙华民治大道328号
  • 河南.漯河
    客  服:186-3956-5346  
    地  址:河南省漯河市召陵区青年街二号
  • 四川.德阳
    客  服:
    地  址:龙泉山北路19号宗辰山水

  • 北京
    客  服:
    地  址:北京市大兴区黄村林校北里西区
收缩