使用織夢(mèng)程序搭建的網(wǎng)站比較關(guān)切的就是安全問題了,近期博主多次收到阿里云后臺(tái)的信息提示網(wǎng)站存在一些漏洞需要及時(shí)處理。進(jìn)入阿里云后臺(tái),我查看了一番漏洞提示:dedecms任意文件上傳漏洞。該漏洞所處的路徑為:/www/wwwroot/www.www-2900555.com/include/dialog/select_soft_post.php,對(duì)于該漏洞,博主去網(wǎng)上查找了一下,發(fā)現(xiàn)存在這種情況的站長(zhǎng)還是不少的,還好解決方法也比較簡(jiǎn)單,這里記下以備不時(shí)之需。
dedecms任意文件上傳漏洞修復(fù)方法
1、登陸服務(wù)器管理后臺(tái),根據(jù)漏洞所處路徑找到源文件include/dialog/select_soft_post.php。
2、編輯select_soft_post.php,查找如下代碼(博主是在第72行找到)
| $fullfilename = $cfg_basedir.$activepath.'/'.$filename; |
3、在該行代碼上面添加如下內(nèi)容
|
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系統(tǒng)禁止!",'javascript:;');
exit();
}
|
完畢后保存文件,再登陸阿里云后臺(tái)驗(yàn)證該漏洞即可解除風(fēng)險(xiǎn)提示,方法確實(shí)很實(shí)用。
