织梦DedeCMS uploadsafe.inc.php上传漏洞的解决办法

最新推荐文章于 2022-09-05 18:22:15 发布
最新推荐文章于 2022-09-05 18:22:15 发布
阅读量440 收藏
点赞数 1
分类专栏: dedecms

很多将织梦dedecms安装在阿里云的ecs的站长每次都会看到阿里云盾就会通知有一个上传漏洞,引起的文件是/include/uploadsafe.inc.php文件,

原因是dedecms原生提供一个"本地变量注册"的模拟实现,原则上允许黑客覆盖任意变量,就会导致被攻击,下面告诉大家解决的办法:

我们找到并打开/include/uploadsafe.inc.php文件,在里面找到如下代码:

if(empty(${$_key.'_size'}))
    {
        ${$_key.'_size'} = @filesize($$_key);
    }

在其下面添加如下代码:

$imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");
    if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){
        $image_dd = @getimagesize($$_key); if($image_dd == false){
            continue;
        }
        if (!is_array($image_dd)) {
            exit('Upload filetype not allow !');
        }
    }

然后继续在下面一点的位置找到如下代码:

$image_dd = @getimagesize($$_key);

在其下面添加如下代码:

	if($image_dd == false){ continue; }

添加完成后保存并替换原来的文件即可,操作完成后就可以去阿里云后台验证这个漏洞了。

女王的禅师范
关注
专栏目录
织梦DedeCMS select_soft_post.php任意文件上传漏洞解决办法
qq_31763129的博客
04-26 6683
最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞,引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉,所以我们需要手动添加代码过滤,具体操作方法如下: 我们找到并打开/include/dialog/select_...
织梦dedecms search.php注入漏洞exp,DedeCms V57 plus/search.php 文件SQL注射0day漏洞
weixin_42104947的博客
03-10 543
微博上看到就分析了一下,这个漏洞不止一处地方可以被利用.其实可以无视magic_quotes_gpc = On的时候.真心不鸡肋.Hackme论坛原创 转载请附带原文链接作者: c4rp3nt3r@0x50sec.orgDedecms最新版 plus/search.php 文件存在变量覆盖漏洞,成功利用该漏洞可以获取管理员密码.算了不公开了,不能糟蹋0day了.传送门 DedeCmS V57 p...
dedecms上传漏洞uploadsafe.inc.php
L_melody的博客
01-19 862
文件:uploadsafe.inc.php 路径:.../include/uploadsafe.inc.php 解决方案: 1、查找文件位置:/include/uploadsafe.inc.php,大概在42行左右,找到: ${$_key.'_size'} = @filesize($$_key); } 修改为: ${$_key.'_size'} = @filesize($$_k...
织梦dedecms上传漏洞uploadsafe.inc.php修复方法
zxy840552216的博客
07-12 214
dedecms上传漏洞uploadsafe.inc.php,这里直接给出修复漏洞的方法,希望大家可以多学习。 今天分享的漏洞是一个关于织梦dedecms上传漏洞修复方法,主要是文件/include/uploadsafe.inc.php。 有2个地方: 1、搜索 ${$_key.’_size’} = @filesize($$_key); }(大概在42,43行左右) 替换成 01 $ { 02 $_key.'_size' 03 }
织梦dedecms之 /include/uploadsafe.inc.php文件
kakashs
01-19 161
1、搜索 ${$_key.'_size'} = @filesize($$_key); } (大概在42,43行左右) 替换成 ${$_key.'_size'} = @filesize( _key); } $imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/x...
uploadsafe.php,织梦dedecms上传漏洞uploadsafe.inc.php修复
weixin_33213911的博客
03-25 130
织梦dedecms上传漏洞uploadsafe.inc.php,这里直接给出修复漏洞的方法,希望大家可以多学习。今天分享的漏洞是一个关于织梦dedecms上传漏洞修复方法,主要是文件/include/uploadsafe.inc.php。有2个地方:1、搜索 ${$_key.'_size'} = @filesize($$_key); }(大概在42,43行左右)替换成${$_key.'_...
织梦php配置文件,织梦dedecms配置文件/include/common.inc.php解读
weixin_34204530的博客
04-01 1031
dedecms中配置文件是/include/common.inc.php,我觉得里面的一些思路还是值得借鉴的,比如定义系统路径定义,防sql注入的处理等。各行代码简单释义如下://error_reporting(E_ALL);error_reporting(E_ALL || ~E_NOTICE);//防止页面报错define('DEDEINC', ereg_replace("[/\\]{1,}",...
【demx83】婚纱摄影拍摄类单独手机网站织梦dedecms源码.zip
09-24
【demx83】婚纱摄影拍摄类单独手机网站织梦dedecms源码.zip
织梦dedeCMS search.php
最新发布
09-28
织梦dedeCMS的search.php是一个用于搜索功能的页面。然而,根据您提供的引用内容,这些引用看起来是一些恶意攻击的尝试,试图通过检索search.php页面中的特定参数来执行SQL注入攻击。SQL注入是一种常见的网络攻击...
织梦dedecms建站详细教程.doc
01-12
织梦DEDecms建站详细教程 DEDecms是一款流行的内容管理系统,拥有强大的功能和灵活的架构。本教程旨在指导读者快速搭建一个基于DEDecms的网站,涵盖环境配置、程序安装、系统文件夹讲解等多个方面的内容。 ...
织梦CMS上传漏洞修复
caichuoran3785的博客
06-27 697
近段时间老是发现网站title被注入其他信息,应该是被植入***还是什么的,非常困闹,在网站找了一些织梦漏洞的修补方法。 任意文件上传漏洞修复 一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子) $fullfilename = $cfg_basedir.$activepath.'/'.$filename; 修改为 if...
织梦guestbook.php漏洞,织梦DEDECMS任意文件上传漏洞与注入漏洞修复方法
weixin_29686935的博客
03-12 787
修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php。修复方法都是...
dedecms上传漏洞uploadsafe.inc.php 整理
热门推荐
日拱一卒无有尽,功不唐捐终入海
09-06 1万+
自从买了阿里云的ecs 之后每次出现漏洞阿里云盾就会通知,前段时间部署的项目检测出上传漏洞 根据网上大神们的博客整理了下,下面这个是可行的 dedecms上传漏洞uploadsafe.inc.php,这里整理了大神们对于这个漏洞的解释 1. 漏洞描述 1. dedecms原生提供一个"本地变量注册"的模拟实现,原则上允许黑客覆盖任意变量 2. dedecms
阿里云 织梦dedecms 上传漏洞 uploadsafe.inc.php 的解决方法
眺望远方
11-12 280
漏洞名称:dedecms 上传漏洞 漏洞文件:include/uploadsafe.inc.php 漏洞描述:dedecms过滤逻辑不严导致上传漏洞。 解决方法: 1、打开include/uploadsafe.inc.php文件,找到第8行或者搜索 $cfg_not_allowall = “php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml”; 替换为: $cfg_no...
dedecms织梦上传漏洞怎么修复
09-05 270
漏洞DedeCMS V5.7 SP2正式版(2018-01-09) 已经修复过,已经你的织梦程序已经是这个版本的话,可以忽略以下修复教程,不放心的可以打开文件对比一下。自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示。打开 /include/uploadsafe.inc.php 找到 40至43行。dedecms过滤逻辑不严导致上传漏洞dedecms上传漏洞
php 5.5.7 漏洞,织梦5.7注入加上传漏洞
weixin_35356909的博客
03-19 340
会员中心查询会员信息语句过滤不严,导致url可提交注入参数;会员中心有上传动作过滤不严,导致上传漏洞详细说明:①注入漏洞。这站 https://www.webshell.cc/首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该...
织梦DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法
PHP错误汇总
10-08 225
网站迁移到阿里云之后,一直提示有一个漏洞,如下: 漏洞名称:dedecms 上传漏洞 漏洞文件:include/uploadsafe.inc.php 漏洞描述:dedecms过滤逻辑不严导致上传漏洞DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法 (此图片来源于网络,如有侵权,请联系删除! ) 在网上百度了一下,找一个比较好的方法,把这个漏洞问题解决了,主要修改uploadsafe.inc.php文件的两处。 DedeCMS上传漏洞uploadsafe.inc.ph
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值