阿里云提示dedecms任意文件上傳漏洞修復(fù)方法

使用織夢程序搭建的網(wǎng)站比較關(guān)切的就是安全問題了，近期博主多次收到阿里云后臺的信息提示網(wǎng)站存在一些漏洞需要及時處理。進入阿里云后臺，我查看了一番漏洞提示：dedecms任意文件上傳漏洞。該漏洞所處的路徑為：/www/wwwroot/www.yinhuafeng.cn/include/dialog/select_soft_post.php，對于該漏洞，博主去網(wǎng)上查找了一下，發(fā)現(xiàn)存在這種情況的站長還是不少的，還好解決方法也比較簡單，這里記下以備不時之需。

dedecms任意文件上傳漏洞修復(fù)方法

1、登陸服務(wù)器治理后臺，根據(jù)漏洞所處路徑找到源文件include/dialog/select_soft_post.php。

2、編輯select_soft_post.php，查找如下代碼(博主是在第72行找到)

$fullfilename=$cfg_basedir.$activepath.'/'.$filename;

3、在該行代碼上面添加如下內(nèi)容

if(preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i',trim($filename))){

ShowMsg("你指定的文件名被系統(tǒng)禁止！",'javascript:;');

exit();

}

完畢后保存文件，再登陸阿里云后臺驗證該漏洞即可解除風(fēng)險提示，方法確實很實用。