使用織夢程序搭建的網(wǎng)站比較關切的就是安全問題了,近期博主多次收到阿里云后臺的信息提示網(wǎng)站存在一些漏洞需要及時處理。進入阿里云后臺,我查看了一番漏洞提示:dedecms任意文件上傳漏洞。該漏洞所處的路徑為:/www/wwwroot/www.www-2900555.com/include/dialog/select_soft_post.php,對于該漏洞,博主去網(wǎng)上查找了一下,發(fā)現(xiàn)存在這種情況的站長還是不少的,還好解決方法也比較簡單,這里記下以備不時之需。
dedecms任意文件上傳漏洞修復方法
1、登陸服務器管理后臺,根據(jù)漏洞所處路徑找到源文件include/dialog/select_soft_post.php。
2、編輯select_soft_post.php,查找如下代碼(博主是在第72行找到)
| $fullfilename = $cfg_basedir.$activepath.'/'.$filename; |
3、在該行代碼上面添加如下內容
|
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系統(tǒng)禁止!",'javascript:;');
exit();
}
|
完畢后保存文件,再登陸阿里云后臺驗證該漏洞即可解除風險提示,方法確實很實用。
