阿里云发布uploadsafe.inc.php漏洞修复提示
阿里云提示uploadsafe.inc.php漏洞修复是指针对阿里云服务器上的uploadsafe.inc.php文件存在的安全漏洞进行修复。这个漏洞可能会导致攻击者通过构造恶意请求,绕过安全限制,从而获取服务器敏感信息或者执行任意操作。为了保障网站和数据的安全,建议及时对存在漏洞的uploadsafe.inc.php文件进行修复。修复方法通常包括更新文件版本、修补漏洞代码等。同时,还需要加强服务器的安全防护措施,如定期检查系统漏洞、设置防火墙规则、使用安全插件等,以防止类似漏洞再次出现。
很多将织梦dedecms安装在阿里云的ecs的站长每次都会看到阿里云盾就会通知有一个上传漏洞,引起的文件是/include/uploadsafe.inc.php文件,
原因是dedecms原生提供一个"本地变量注册"的模拟实现,原则上允许黑客覆盖任意变量,就会导致被攻击,下面告诉大家解决的办法:
我们找到并打开/include/uploadsafe.inc.php文件,在里面找到如下代码:
if(empty(${$_key.'_size'})){${$_key.'_size'}=@filesize($$_key);}在其下面添加如下代码:
$imtypes=array("image/pjpeg","image/jpeg","image/gif","image/png","image/xpng","image/wbmp","image/bmp");if(in_array(strtolower(trim(${$_key.'_type'})),$imtypes)){$image_dd=@getimagesize($$_key);if($image_dd==false){continue;}if(!is_array($image_dd)){exit('Uploadfiletypenotallow!');}}然后继续在下面一点的位置找到如下代码:
$image_dd=@getimagesize($$_key);
在其下面添加如下代码:
if($image_dd==false){continue;}添加完成后保存并替换原来的文件即可,操作完成后就可以去阿里云后台验证这个漏洞了。
