使用织梦程序搭建的网站比较关切的就是安全问题了,近期博主多次收到阿里云后台的信息提示网站存在一些漏洞需要及时处理。进入阿里云后台,我查看了一番漏洞提示:dedecms任意文件上传漏洞。该漏洞所处的路径为:/www/wwwroot/www.yinhuafeng.cn/include/dialog/select_soft_post.php,对于该漏洞,博主去网上查找了一下,发现存在这种情况的站长还是不少的,还好解决方法也比较简单,这里记下以备不时之需。
dedecms任意文件上传漏洞修复方法
1、登陆服务器管理后台,根据漏洞所处路径找到源文件include/dialog/select_soft_post.php。
2、编辑select_soft_post.php,查找如下代码(博主是在第72行找到)
| $fullfilename = $cfg_basedir.$activepath.'/'.$filename; |
3、在该行代码上面添加如下内容
|
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
exit();
}
|
完毕后保存文件,再登陆阿里云后台验证该漏洞即可解除风险提示,方法确实很实用。
