Easyadmin漏洞介绍

0 11 2024-10-24 06:00:03

本文目录

1. 漏洞说明
2. 漏洞源码与修复

easydmin是一款流行的thinPHP后台框架，虽然外观整洁大气美观，但存在漏洞。

漏洞说明

默认的上传没有 mime头验证，会有被人上传脚本的风险。

漏洞源码与修复

找到//，注释的就是原版上传逻辑，下一行则为修复方案。

    /**
     * 上传文件 \app\admin\controller\Ajax.php
     */
    public function upload()
    {
        $data = [
            'upload_type' => $this->request->post('upload_type'),
            'file'        => $this->request->file('file'),
        ];
        $uploadConfig = sysconfig('upload');
        empty($data['upload_type']) && $data['upload_type'] = $uploadConfig['upload_type'];
        $rule = [
            'upload_type|指定上传类型有误' => "in:{$uploadConfig['upload_allow_type']}",
            // 'file|文件'              => "require|file|fileExt:{$uploadConfig['upload_allow_ext']}|fileSize:{$uploadConfig['upload_allow_size']}",
            'file|文件'              => "require|file|fileExt:{$uploadConfig['upload_allow_ext']}|fileMime:{$uploadConfig['upload_allow_mime']}|fileSize:{$uploadConfig['upload_allow_size']}",
        ];
        $this->validate($data, $rule);
        try {
            $upload = Uploadfile::instance()
                ->setUploadType($data['upload_type'])
                ->setUploadConfig($uploadConfig)
                ->setFile($data['file'])
                ->save();
        } catch (\Exception $e) {
            $this->error($e->getMessage());
        }
        if ($upload['save'] == true) {
            $this->success($upload['msg'], ['url' => $upload['url']]);
        } else {
            $this->error($upload['msg']);
        }
    }

网站安全是网站运营的重中之重，如果你使用thinkPHP，在感受他的强大、优雅的同时，还请注意维护好网站安全性。

本文地址：https://xzo.com.cn/develop/tp/1420.html

有帮助，很赞！

信息来源：下载鸥

业务合作

如果您认可我们的分享，有意与我们合作开展帝国cms网站建设与开发业务或插件定制，请联系右侧在线客服。我们能给您的，就是高质量的模板与售后。

版权声明

标注了信息来源为下载鸥的文章皆为原创，如果是转载的优质文章，我们也都标注了出处。如果您喜欢我们的文章，请按照下载鸥所标注的文章出处进行标注，谢谢您的配合。

信息标签

网站安全

easyadmin

让Python网站安全性能提升的一些过滤形式宝塔面板如何屏蔽恶意访问ip 帝国cms网站被攻击了怎么办？用户输入过滤的几个方式前后端分离后，服务器如何鉴权？ dedecms cookies泄漏导致SQL漏洞（article_add.php）解决方案 Easyadmin漏洞介绍网站安全之用户输入过滤filter_var() 织梦CMS网站安全：SQL注入漏洞修复方式 360提示帝国cms存在跨站脚本攻击漏洞是什么原因？织梦CMS V5.7网站安全 - 容易被黑客利用的9个漏洞与修复方法介绍网上下载的帝国CMS免费模板，怎样防止后门与挂马？怎样去除站长平台检测出的PbootCMS程序？ 360蜘蛛抓取帝国cms后台目录威胁网站安全记一次dedecms被挂挖矿木马处理过程怎样用video src=blob做资源防盗？ php函数介绍之危险的include() - 一句话代码威胁网站安全网站安全是运维的工作吗？帝国CMS网站被挂马了是什么原因？帝国cms禁止蜘蛛抓取后台提升网站安全

导出教程下载word版教程

关于thinkPHP

ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。

ThinkPHP诞生十八年来一直秉承简洁实用的设计原则，在保持出色的性能和至简代码的同时，更注重易用性。遵循Apache2开源许可协议发布，意味着你可以免费使用ThinkPHP，允许把你基于ThinkPHP开发的应用开源或商业产品发布/销售。

thinkPHP作为一款轻量级框架，性能、安全性都与开发者的水平息息相关。