在發(fā)現(xiàn)了阿里云云盾報(bào)的一些漏洞后，剛剛又收到一條漏洞報(bào)告：uploadsafe.inc.php上傳漏洞。

很多將織夢(mèng)dedecms安裝在阿里云的ecs的站長(zhǎng)每次都會(huì)看到阿里云盾就會(huì)通知有一個(gè)上傳漏洞，引起的文件是/include/uploadsafe.inc.php文件，

原因是dedecms原生提供一個(gè)"本地變量注冊(cè)"的模擬實(shí)現(xiàn)，原則上允許黑客覆蓋任意變量，就會(huì)導(dǎo)致被攻擊，下面告訴大家解決的辦法：

我們找到并打開(kāi)/include/uploadsafe.inc.php文件，在里面找到如下代碼：

if(empty(${$_key.'_size'})){${$_key.'_size'} = @filesize($$_key);}

在其下面添加如下代碼：

$imtypes = array("image/pjpeg", "image/jpeg", "image/gif", "image/png", "image/xpng", "image/wbmp", "image/bmp");    if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes)){        $image_dd = @getimagesize($$_key); if($image_dd == false){            continue;        }        if (!is_array($image_dd)) {            exit('Upload filetype not allow !');        }    }

然后繼續(xù)在下面一點(diǎn)的位置找到如下代碼：

$image_dd = @getimagesize($$_key);

在其下面添加如下代碼：

if($image_dd == false){continue;}

添加完成后保存并替換原來(lái)的文件即可，操作完成后就可以去阿里云后臺(tái)驗(yàn)證這個(gè)漏洞了。

當(dāng)然361源碼還是需要老話再說(shuō)：做任何操作之前一定要做好備份，防止出錯(cuò)無(wú)法恢復(fù)。