很多站长朋友在搭建完织梦系统以后总是担心开源系统存在漏洞,这是必然的,下面就是一个典型的漏洞,这个漏洞称之为可以任意上传的漏洞,此漏洞不修复的话,对网站安全产生极大的安全隐患,下面呆呆源码网就来说一下怎么快速修复这个漏洞吧.

织梦select_soft_post.php漏洞_任意文件上传快速处理


漏洞路径


 /include/dialog/select_soft_post.php



我们可以利用我们的ftp工具,或者织梦后台自带的文件管理工具来查看这个文件,然后进行线上或者线下编辑修改代码,打开源代码以后搜索下面一段并替换新代码即可

搜索代码


$fullfilename = $cfg_basedir.$activepath.'/'.$filename;



替换为


if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {

 
    ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
 
    exit();
 
}


总结:

修复原理是这个漏洞在获取完整文件名的时候没有对服务器造成危害的文件格式进行过滤,因此,我们需要手动添加代码进行过滤即可完美解决此问题