软月互动-基于网络营销的完美网站建设服务商

    织梦DEDECMS任意文件上传漏洞与注入漏洞修复方法

  • 来源:
    南京网站制作
    栏目:
    织梦开发
  • 近期阿里云安全中心报织梦DEDE修复任意文件上传漏洞与注入漏洞,帮大家整理了下该漏洞的修复方法。

    织梦DEDE任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php。其中SQL注入漏洞包含5个文件/include/filter.inc.php, /member/mtypes.php,/member/pm.php,/plus/guestbook/edit.inc.php和/plus/search.php。

    修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦。如果你搜索不到,看行数,找相近的,然后将我标记红色的部分复制到对应位置。

    一、任意文件上传漏洞修复

    文件目录:/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)

    $fullfilename = $cfg_basedir.$activepath.'/'.$filename;

    修改为

    if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$activepath.'/'.$filename;;

    二、SQL注入漏洞修复

    1、文件目录:/include/filter.inc.php文件,搜索(大概在46行的样子)

    return $svar;

    修改为

    return addslashes($svar);

    2、文件目录:/member/mtypes.php文件,搜索(大概在71行的样子)

    $query = "UPDATE `dede_mtypes` SET mtypename='$name' WHERE mtypeid='$id' AND mid='$cfg_ml->M_ID'";

    修改为

    $id = intval($id); $query = "UPDATE `dede_mtypes` SET mtypename='$name' WHERE mtypeid='$id' AND mid='$cfg_ml->M_ID'";

    3、文件目录:/member/pm.php文件,搜索(大概在65行的样子)

    $row = $dsql->GetOne("SELECT * FROM `dede_member_pms` WHERE id='$id' AND (fromid='{$cfg_ml->M_ID}' OR toid='{$cfg_ml->M_ID}')");

    修改为

    $id = intval($id); $row = $dsql->GetOne("SELECT * FROM `dede_member_pms` WHERE id='$id' AND (fromid='{$cfg_ml->M_ID}' OR toid='{$cfg_ml->M_ID}')");

    4、文件目录:/plus/guestbook/edit.inc.php文件,搜索(大概在55行的样子)

    $dsql->ExecuteNoneQuery("UPDATE `dede_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");

    修改为

    $msg = addslashes($msg); $dsql->ExecuteNoneQuery("UPDATE `dede_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");;

    5、文件目录:/plus/search.php文件,搜索(大概在109行的样子)

    $keyword = addslashes(cn_substr($keyword,30));

    修改为

    $typeid = intval($typeid); $keyword = addslashes(cn_substr($keyword,30));

    软月互动成立于2008年,先后在南京江北新区、山东济南成立办事处,总部位于南京市大行宫。软月是一家集网站建设、网页设计、软件开发、企业画册设计、企业宣传片制作和动漫动画设计制作于一体的企业信息化服务机构。欢迎广大新老用户来电洽谈咨询,我们将竭诚为您服务!热线:025-81559996
      最新文章
  • 做SEO前一定要了解好自己的网站
    做SEO前一定要了解好自己的网站

    南京网站建设公司:网站制作目的是帮助企业在网络营销中最大化引流,seo是较为常见的引流方式。没有几个网站不需要做排名的,seo就是一种排名技术,seo其作用的前...

  • 南京网站制作带你一步步了解SEO
    南京网站制作带你一步步了解SEO

    搜索引擎一直以来都被视为互联网的重要入口,随着多年的发展和习惯的积累,拥有固定的用户群。很多互联网营销行为也把搜索引擎放再营销环节中一个重要的位置,我们经常说的...

  • 南京软月网站制作手把手教你如何把自己的网站制作好?
    南京软月网站制作手把手教你如何把自己的网站制作好?

    搜索引擎信息传递的便捷性让任何人都想制作属于自己的网站。具备一定设计与编程能力的小伙伴,通过观看相应的视频,文档等,可以快速学习制作一个简单的网站。或者是下载一...

  • 周一早报:任正非称华为根本不会“死”;喜茶将上线社交功能;IPO审核已连续六周过会率100%
    周一早报:任正非称华为根本不会“死”;喜茶将上线社交功能;IPO审核已连续六周过会率100%

    任正非:华为根本不会“死”昨晚,央视播出任正非接受《面对面》采访。任正非称,华为已经做了两万枚奖章,上面写是“不死的华为”。“我们根本不认为会死,胜利一定是属于...

  • 互联网家装如何抢占新零售风口?
    互联网家装如何抢占新零售风口?

    编者按:本文来源微信公众号砺石商业评论,文刘学辉。资本退潮、互联网红利的消失殆尽都在将互联网家装的发展带入到了一种进退两难的境地里。以“互联网”和“家装”两种元...

  • 中科院:在线英语外教资质最受重视 八成家长偏爱北美外教
    中科院:在线英语外教资质最受重视 八成家长偏爱北美外教

    近日,中科院大数据挖掘与知识管理重点实验室发布《2018年中国在线青少儿英语教育白皮书》。白皮书显示,2018年我国在线青少儿英语1对1付费用户已经突破100万...

  • 连盒马鲜生都开始关店了,新零售的未来到底该怎么看?
    连盒马鲜生都开始关店了,新零售的未来到底该怎么看?

    编者按:本文来源微信公众号骨朵网络影视,作者夏天。在中国的新零售市场上,盒马鲜生可谓是一个异类,相比于其他市场参与者都是原先商业市场的竞争者然后自我转型做新零售...

  • 当云集讲起会员电商新故事,社交电商还是条好出路吗?
    当云集讲起会员电商新故事,社交电商还是条好出路吗?

    编者按:本文来源钛媒体,作者谢康玉。社交电商鼻祖、超级“微商”云集在这个五一正式登陆纳斯达克,按最新股价计算,这家依托于微信生态平地而起的电商平台,如今市值已超...

    • 实验室

      LABORATORY

  • 织梦开发
  • 小程序开发
  • 工作时间:周一至周五 9:00-18:00
  • 创意部地址:南京市中山东路198号龙台国际大厦1717室
  • CopyRight © 2008-2020 All Rights Reserved. 南京软月科技有限公司 苏公网安备 32010402000332号 苏ICP备08110927号-6