织梦DedeCMS select_soft_post.php任意文件上传漏洞解决办法

最新推荐文章于 2022-09-07 14:14:44 发布
最新推荐文章于 2022-09-07 14:14:44 发布
阅读量6.6k 收藏 2
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31763129/article/details/80091980
版权

最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞,引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。

原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉,所以我们需要手动添加代码过滤,具体操作方法如下:

 

我们找到并打开/include/dialog/select_soft_post.php文件,在里面找到如下代码:

 

1
最低0.47元/天 解锁文章
特日根1602813998
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞挖掘】——105、POST注入深入剖析
Fly_鹏程万里
06-21 45
POST是一种数据提交方式,它主要是指数据从客户端提交到服务器端,例如:我们常常使用的用户登录模块、网站的留言板模块等,在这些功能模块中我们提交的数据都是以POST的方式提交的服务器后再由服务器端进行验证,如果以POST提交的参数存在注入点,那么将这种注入称之为"POST"注入。
Dedecms_20150618_member_sqli (2).py
10-05
dedecms5.7sp1后台(要能够注册member的vip账户后台才可以)存在sql延时注入exp,用火狐得到账户登录的cookie替换,然后Python2.7跑脚本,from乌云雨神 http://www.hekaiyu.cn/hacker/3060.html
织梦dedecms漏洞修复大全含任意文件上传漏洞与注入漏洞
zxy840552216的博客
07-12 1313
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题,今天就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php...
dedecms任意文件上传漏洞select_soft_post.php
L_melody的博客
08-14 3884
文件select_soft_post.php 路径:/include/dialog/select_soft_post.php 原因:在获取完整文件名时,没有将会对服务器造成危害的文件格式过滤掉,因此需要手动添加代码过滤 解决方法: 1、在 select_soft_post.php 中找到如下代码: $fullfilename = $cfg_basedir.$activepath.'...
Dedecms include\dialog\select_soft_post.php Upload Any Files To The Specified Directory Via Variable...
weixin_30628077的博客
12-15 287
目录 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考 1. 漏洞描述 综合来说,这个漏洞的根源是"register_globals = on",在这个漏洞的前提下,攻击者可以发动这样的攻击向量 1. 当前网站的"register_globals = on"已开启 2. 在代码中没有显式声明、初始化的变...
织梦guestbook.php漏洞,织梦DEDECMS任意文件上传漏洞与注入漏洞修复方法
weixin_29686935的博客
03-12 727
修复任意文件上传漏洞与注入漏洞任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php。修复方法都是...
dedecms5.7注入和上传漏洞
weixin_34351321的博客
01-01 329
注入漏洞。首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,   然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏...
Dedecms5.8中的CKEditor4.15 粘贴图片上传出错的Bug的修复
ffzzyy的博客
10-01 568
CKEditor4.6 开始就支持粘贴图片自动上传的功能,例如: 你可以在Word文档中选中一个图片,使用Ctrl+C,然后在CKEditor中使用Ctrl+V,这个时候可以实现图片自动上传,方便了不少。CSDN使用的是CKEditor5,也支持这个功能。在CKEditor的官网的例子中,测试该项功能,均正常使用。 但是在Dedecms中使用的时候,提示如下 通过在浏览器中使用F12查看错误信息,可以看到上传图片的url出错,url应该是select_images_post.php?而不是selec
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
ask.rar_ask module_ask问答_dedecms_mark_ico.gif
09-24
《深入解析DedeCMS问答模块及其模板应用》 在当今互联网时代,互动性强、用户参与度高的问答系统已经成为网站不可或缺的一部分。DedeCMS织梦内容管理系统)作为一款深受开发者喜爱的开源CMS平台,其丰富的功能和...
织梦xml地图二次开发的替换文件_织梦插件_源码.zip
10-18
织梦内容管理系统(DedeCMS)是一款广泛使用的开源CMS,为网站管理员提供了强大的内容管理功能。在SEO优化中,XML地图扮演着至关重要的角色,它帮助搜索引擎更好地理解网站结构,从而提升网页的收录率和索引速度。...
included:PHP编程收录,包含手册,笔记,源码等
03-24
包括 PHP编程收录,包含手册,笔记,源码等工作学习用
dedecms织梦首页分页插件_hexo分页_dedecms_织梦csm_
10-03
织梦CMS默认首页文章列表是不能分页的,但是我这个网站主页做个人博客网站的,首页要用到分页,所以装了织梦首页分页插件这个插件来实现。但是装完插件后发现,首页分页URL地址是index**.html这种格式,和我原来hexo...
selectsoftpost.php,include/dialog/select_soft_post.php · jake/alazixun - Gitee.com
weixin_34194829的博客
03-27 405
/*** 软件发送** @version $Id: select_soft_post.php 1 9:43 2010年7月8日Z tianya $* @package DedeCMS.Dialog* @copyright Copyright (c) 2007 - 2010, DesDev, Inc.* @license http://help.d...
织梦php模板在哪个文件夹,织梦主要文件夹目录及模板文件说明
weixin_36006862的博客
03-12 669
虽然织梦DedeCMS因为安全问题被人所诟病,但瑕不掩瑜,无论从用户群数量还是时间等各方面,织梦DedeCMS都是国内排名前几的CMS建站程序。如果你想学习CMS的二次开发,织梦DedeCMS是必须需要研究的。对织梦DedeCMS的二次开发来说,了解织 梦的目录构成、文件、函数则是必备的功课。今天整理一篇关于Dedecms目录介绍的文章,对织梦DedeCMS的目录结构、核心文件、模板...
织梦首页被快照挟持、被串改、被挂马、被入侵后解决办法
zxy840552216的博客
07-12 215
织梦安全防护教程首页被挟持、被串改、被挂马、被入侵后解决办法: 第一步:备份 1-1、后台-系统-数据库备份/还原,数据备份。 1-2、打包整站下载到你电脑上来,防止被改坏了无法还原回来。打包可以利用主机面板的打包功能,快速又方便。 第二步:最新织梦 http://www.dedecms.com/products/dedecms/downloads/ [官网] 下载对应编码的最新织梦程序包 第三步:删除最新织梦程序包那些没用的又容易被挂马入侵的程序文件 3-1、删除以下文件夹和文件 memb
WEBshell与文件上传漏洞
LJH1999ZN的博客
02-19 4728
一、文件上传漏洞的原理 如果web应用程序对上传文件的安全性没有过滤和校验,攻击者可以通过上传webshell恶意文件对服务器进行攻击 。 二、文件上传的原理 1.有文件上传功能 2.上传文件的目录能解析脚本文件 3.能访问到上传的文件 三、文件上传攻击 文件上传防护和绕过手段 1.文件上传漏洞--绕过前端js检测 由于网站客户端对文件的上传类型做了限制,不允许我们上传.php文件,我们可以通过bp抓取发送数据包,然后将数据包做改变即可 ...
dedecms织梦快照被挟持和篡改入侵漏洞修复
09-07 273
5-3、每一个模板htm文件都要细心检查是否有挂马代码存在,检查你的模板文件夹里是否有后门文件,比如php文件,asp文件,其他可疑的格式文件一律删除,删错了也不用担心,有整站打包的备份在。5-4、你备份文件中的文档图片文件夹 uploads 文件夹,每一个文件夹都要打开,都要细心检查是否有后门文件,除了图片文件和你的附件,其他的一律删除,删错了也不用担心,有整站打包的备份在。5-1、每一个跟模板有关的js文件都要一一打开来细心检查,因为挂马很多在js文件中,不然你前面和后面的工作都白做了。
织梦DedeCms任意文件上传漏洞修复
qq_31763129的博客
07-06 2652
一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)      $fullfilename = $cfg_basedir.$activepath.'/'.$filename;      修改为      if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)...
织梦dedeCMS search.php
最新发布
09-28
织梦dedeCMS的search.php是一个用于搜索功能的页面。然而,根据您提供的引用内容,这些引用看起来是一些恶意攻击的尝试,试图通过检索search.php页面中的特定参数来执行SQL注入攻击。SQL注入是一种常见的网络攻击方式,攻击者试图通过在应用程序的输入字段中插入恶意的SQL代码来绕过验证和执行非授权的操作。 为了防止SQL注入攻击,开发者需要对输入参数进行合适的验证和过滤,并使用预处理语句或参数化查询来处理数据库查询。此外,保持应用程序和服务器的安全性也是非常重要的,包括定期更新和修补软件、使用强密码、限制对数据库的访问权限等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值