1 369 2021-01-14 20:58:53
收藏很多将织梦dedecms安装在阿里云的ecs的站长每次都会看到阿里云盾就会通知有一个上传漏洞,引起的文件是/include/uploadsafe.inc.php文件,
原因是dedecms原生提供一个"本地变量注册"的模拟实现,原则上允许黑客覆盖任意变量,就会导致被攻击,下面告诉大家解决的办法:
我们找到并打开/include/uploadsafe.inc.php文件,在里面找到如下代码:
if(empty(${$_key.'_size'}))
{
${$_key.'_size'}=@filesize($$_key);
}
在其下面添加如下代码:
$imtypes=array("image/pjpeg","image/jpeg","image/gif","image/png","image/xpng","image/wbmp","image/bmp");
if(in_array(strtolower(trim(${$_key.'_type'})),$imtypes)){
$image_dd=@getimagesize($$_key);if($image_dd==false){
continue;
}
if(!is_array($image_dd)){
exit('Uploadfiletypenotallow!');
}
}
然后继续在下面一点的位置找到如下代码:
$image_dd=@getimagesize($$_key);
在其下面添加如下代码:
if($image_dd==false){continue;}
添加完成后保存并替换原来的文件即可,操作完成后就可以去阿里云后台验证这个漏洞了。
当然,织梦cms并非只有这一个漏洞。如要查询更多织梦cms漏洞可参考本文:织梦CMS V5.7网站安全 - 容易被黑客利用的9个漏洞介绍
如果要更好的解决织梦cms安全问题,不想一再被织梦cms木马病毒骚扰,也可以联系本站在线客服,将织梦cms转为帝国cms。
本文地址:https://xzo.com.cn/develop/dede/53.html
如果您认可我们的分享,有意与我们合作开展帝国cms网站建设与开发业务或插件定制,请联系右侧在线客服。我们能给您的,就是高质量的模板与售后。
标注了信息来源为下载鸥的文章皆为原创,如果是转载的优质文章,我们也都标注了出处。如果您喜欢我们的文章,请按照下载鸥所标注的文章出处进行标注,谢谢您的配合。
织梦cms是国内最流行的cms程序,操作简单便捷,但安全性低,且数据超过10万后会卡顿,超过20万后效率十分低下,适合入门级用户。
织梦和帝国都是国内优秀的CMS,二者虽然在设计理念上存在诸多不同,但数据表的...
织梦是我用过的第二个CMS,也是最喜欢的CMS之一。他最大的优点有二:1、功能十...
织梦CMS是国内最热门的CMS,没有之一。其操作简便,对新人十分友好,占据了国内CM...
织梦后台系统是目前被采用最多的网站CMS,很多SEOer都操作过织梦后台,那么细心...
很多人都知道织梦并不安全,但具体是怎么个不安全法,存在哪些漏洞呢,我们以5.7...
织梦cms是一个非常流行的cms程序,其文档数据都是存在MySQL数据表里面的,就默...
织梦cms是新手建站的首选,但企业站一般不建议使用织梦cms程序。其原因一方面...
dedecms有不少的漏洞,如果不能妥善处理,极易导致织梦cms网站被黑。今天,我们来...
常用的dedecms模板开发标签汇总,记得收藏一下,要用的时候再调出来哦~...
织梦cms怎样批量替换标题、正文、作者、描述、关键词等信息里的品牌词呢?...
织梦CMS后台生成速度慢怎样做优化提速?请看这个加速方法,瞬间提高程序运行效...
不写死任何字段,不写死任何东西,修改2个文件,让织梦自定义表单自由导出到Excel...
PHP7上运行织梦cms安装插件时,显示模块包含的文件列表为空,且无法安装成功。...
织梦CMS手机模板安装方法跟PC端其实一样的,还是有很多用户表示费解,或在线升...
搭建一个网站需要准备那些东西呢?我们只需要准备三样东西就可以:一,域名,二,空...
DEDECMS织梦程序运行环境要求。...