织梦DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法

最新推荐文章于 2023-12-08 15:45:19 发布
最新推荐文章于 2023-12-08 15:45:19 发布
阅读量201 收藏
点赞数
分类专栏: dede 修改 程序二次开发 文章标签: DedeCMS 上传漏洞 修复方法 阿里云 服务器安全
原文链接:http://www.dede58.com/a/zhimengjiaocheng/dedefault/10665.html
版权

网站迁移到阿里云之后,一直提示有一个漏洞,如下:

漏洞名称:dedecms 上传漏洞

漏洞文件:include/uploadsafe.inc.php

漏洞描述:dedecms过滤逻辑不严导致上传漏洞。

DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法

(此图片来源于网络,如有侵权,请联系删除! )

在网上百度了一下,找一个比较好的方法,把这个漏洞问题解决了,主要修改uploadsafe.inc.php文件的两处。

DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法

(此图片来源于网络,如有侵权,请联系删除! )

解决方法:

1、打开include/uploadsafe.inc.php文件,找到第8行或者搜索代码:


$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";
 
修改为:


$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml|htm|html";
 
2、找到第52行或者搜索代码:


$image_dd = @getimagesize($$_key);
 
在其下面添加:


if($image_dd == false){ continue; }
 
修改文件前请做好文件备份,将新的uploadsafe.inc.php文件上传替换阿里云服务器上再验证此漏洞即可解决此问题。

DedeCMS上传漏洞uploadsafe.inc.php文件的修改方法

(此图片来源于网络,如有侵权,请联系删除! )

阿里云还是比较靠谱的,每天都会扫描我们网站的漏洞并给出反馈,解决这些漏洞,对网站也是很安全的。

二胖的窝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DedeCMS select_soft_post.php任意文件漏洞解决办法
qq_31763129的博客
04-26 6626
最近很多建站朋友发现DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件漏洞,引起的文件安装目录下的/include/dialog/select_soft_post.php文件。原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉,所以我们需要手动添加代码过滤,具体操作方法如下: 我们找到并打开/include/dialog/select_...
密码重设工具.rar
04-16
需要注意的是,虽然密码重设工具提供了方便,但使用第三方工具修改系统核心文件始终存在风险,可能导致系统不稳定或安全漏洞。因此,使用前务必确保工具来源可靠,并备份好重要数据,以防万一。此外,定期更换...
Discuz!论坛安装教程
06-27 812
四、升级论坛 返回目录 下一课  当有新版本出来 时,可以在原来的基础上升级,升级前做好备份,下面我们来看一个练习;  1、升级安装到7.2  1)打开下载的7.2安装包,先看里面的readme文件夹里的,readme和upgrade两个文件,掌握升级的方法;    2)解压upload文件夹,复制除了 install/文件夹和config.inc.php以外的所有内容,覆盖到论坛源文件
DedeCMS uploadsafe.inc.php漏洞的解决办法
kakashs
01-19 408
很多将dedecms安装在阿里云的ecs的站长每次都会看到阿里云盾就会通知有一个上漏洞,引起的文件是/include/uploadsafe.inc.php文件, 原因是dedecms原生提供一个"本地变量注册"的模拟实现,原则上允许黑客覆盖任意变量,就会导致被攻击,下面告诉大家解决的办法: 我们找到并打开/include/uploadsafe.inc.php文件,在里面找到如下代码: if(...
dedecms漏洞uploadsafe.inc.php 整理
热门推荐
日拱一卒无有尽,功不唐捐终入海
09-06 1万+
自从买了阿里云的ecs 之后每次出现漏洞阿里云盾就会通知,前段时间部署的项目检测出上漏洞 根据网上大神们的博客整理了下,下面这个是可行的 dedecms漏洞uploadsafe.inc.php,这里整理了大神们对于这个漏洞的解释 1. 漏洞描述 1. dedecms原生提供一个"本地变量注册"的模拟实现,原则上允许黑客覆盖任意变量 2. dedecms
uploadsafe.php,dedecms漏洞uploadsafe.inc.php修复
weixin_33213911的博客
03-25 101
dedecms漏洞uploadsafe.inc.php,这里直接给出修复漏洞方法,希望大家可以多学习。今天分享的漏洞是一个关于dedecms漏洞修复方法,主要是文件/include/uploadsafe.inc.php。有2个地方:1、搜索 ${$_key.'_size'} = @filesize($$_key); }(大概在42,43行左右)替换成${$_key.'_...
阿里云 dedecms漏洞 uploadsafe.inc.php 的解决方法
眺望远方
11-12 261
漏洞名称:dedecms漏洞 漏洞文件:include/uploadsafe.inc.php 漏洞描述:dedecms过滤逻辑不严导致上漏洞。 解决方法: 1、打开include/uploadsafe.inc.php文件,找到第8行或者搜索 $cfg_not_allowall = “php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml”; 替换为: $cfg_no...
dedecms建站详细教程.doc
01-12
DEDecms建站详细教程 DEDecms是一款流行的内容管理系统,拥有强大的功能和灵活的架构。本教程旨在指导读者快速搭建一个基于DEDecms的网站,涵盖环境配置、程序安装、系统文件夹讲解等多个方面的内容。 ...
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
DedeCMS在线询盘订单制作方法.pdf
10-06
DedeCMS是一款流行的开源内容管理系统,常用于企业建站和信息管理。该系统提供了丰富的功能,包括文章管理、产品展示、会员系统等。在某些情况下,用户可能需要实现在线询盘或订单功能,而不需要完整的购物车和...
系统seo优化方法.pdf
03-13
系统,全称DedeCms,是中国广泛使用的开源内容管理系统之一,因其强大的功能和易用性而受到众多站长的青睐。对于任何网站来说,搜索引擎优化(SEO)是提升在线可见性和流量的关键策略,而对于CMS的站点来说...
uploadsafe.php,dedecmsuploadsafe.inc.php漏洞修复方法
weixin_39609166的博客
03-25 127
dedecms漏洞修复非常简单,把/include/uploadsafe.inc.php文件使用ftp工具下载到桌面上,用本文编辑器打开,搜索${$_key.'_size'} = @filesize($$_key); }(大概在42,43行左右)替换成${$_key.'_size'} = @filesize($$_key);} $imtypes = array("image/pj...
漏洞复现-dedecms-文件】vulfocus/dedecms-cve_2019_8933
10-16 3555
dedecms-文件】后缀
漏洞复现】DedeCMS存在文件包含漏洞导致后台getshell(CVE-2023-2928)
做自己喜欢的事,并将其发挥到极致!
05-31 3530
uploads/dede/article_allowurl_edit.php存在缺少对该文件中写入内容的任何过滤是导致该漏洞的因素之一,在5.7.106之前的DedeCMS中发现了一个漏洞。它已被宣布为关键。受此漏洞影响的是文件uploads/dede/article_allowurl_edit.php的未知功能。操纵参数allurls会导致代码注入。可以远程发起攻击获得网站控制权限。
漏洞复现-dedecms文件(CVE-2019-8933)
qq_58683895的博客
10-27 934
漏洞复现-5.7SP2版本dedecms文件—_CVE-2019-8933
DedeCMS文件漏洞
最新发布
Loooyoooxooo的博客
12-08 604
1、此版本的DedeCMS后台存在文件漏洞,在渗透过程中我们可以通过利用其它漏洞或者暴力破解的方式获取管理员账号和密码,并登录到后台进行此漏洞利用(此实验主要练习文件DedeCMS漏洞利用);6、依次点击 “生成” - “更新主页HTML” - “浏览选择新建的模板”,在"主页位置"输入框中将文件后缀修改为.php,首页模式选择"生成静态",并点击更新主页HTML。>换成一句话木马<?7、进入生成的链接,成功执行php代码,漏洞测试成功,在进行动态的输出框中,点击"浏览"
dedecms 文件 (CVE-2019-8933)漏洞复现
weixin_42675091的博客
09-03 3290
dedecms 文件 (CVE-2019-8933)
dedecms漏洞uploadsafe.inc.php修复方法
qq_31763129的博客
04-26 2762
 今天分享的漏洞是一个关于dedecms漏洞修复方法,主要是文件/include/uploadsafe.inc.php。      有2个地方:      1、搜索 ${$_key.'_size'} = @filesize($$_key);      }(大概在42,43行左右)      替换成          ${$_key.'_size'} = @filesize($$_key);...
dedeCMS search.php
09-28
dedeCMS的search.php是一个用于搜索功能的页面。然而,根据您提供的引用内容,这些引用看起来是一些恶意攻击的尝试,试图通过检索search.php页面中的特定参数来执行SQL注入攻击。SQL注入是一种常见的网络攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值