DEDE:织梦漏洞修复(含任意文件上传漏洞与注入漏洞)

  • A+
所属分类:网络安全

这几天阿里频繁提醒网站有漏洞,搞得我不胜其烦,好吧,我修复还不行吗?搜索之后整理如下,仅供参考(5.7以上版本适用):

任意文件上传漏洞修复

 

一、/include/dialog/select_soft_post.php文件,搜索(大概在72行左右)

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

修改为

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$activepath.'/'.$filename;

 

(SQL)注入漏洞修复

 

一、 /include/filter.inc.php文件,搜索(大概在46行左右)

return $svar;

修改为

return addslashes($svar);

DEDE:织梦漏洞修复(含任意文件上传漏洞与注入漏洞)

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: