1. 漏洞描述2. 漏洞触发条件3. 漏洞影响范围4. 漏洞代码分析5. 防御方法6. 攻防思考

1. 当前网站的"register_globals = on"已开启2. 在代码中没有显式声明、初始化的变量3. 在用户提交的HTML表单中提交了相同名字的字段4. 在以上的前提下，黑客可以任意控制代码中变量的值

1. 通过注入、覆盖变量$cfg_basedir，导致可以饶过身份认证和系统变量初始化文件，导致可以上传任意文件到指定目录2. 通过注入、覆盖变量$cfg_not_allowall、$newname等字段，绕过文件扩展名检查防御代码，向目标文件夹直接上传WEBSHELL

http://huaidan.org/archives/3386.htmlhttp://sebug.net/vuldb/ssvid-12518http://4byte.cn/learning/51122.htmlhttps://code.google.com/p/webfiles/source/browse/files/localhost/htdocs/cxtx/include/dialog/select_soft_post.php?spec=svn40&r=17

1. register_globals = on: 网站本身的安全设置2. 攻击者可以通过自定义表单为相关的变量赋值: 伪造HTTP数据包

1. Dedecms 5.52. DEDECMS v5.5 Final 

http://www.verydemo.com/demo_c116_i56826.html

1. 在代码流的相对末尾位置布置文件名检测2. 采取正则匹配文件名中是否有".php、.asp"等特征，来达到防止WEBSHELL上传的目的

....if (preg_match(‘#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)$#i‘, trim($filename))) {    ShowMsg("你指定的文件名被系统禁止！",‘javascript:;‘);    exit();}$fullfilename = $cfg_basedir.$activepath.‘/‘.$filename;$fullfileurl = $activepath.‘/‘.$filename;....

1. include/common.inc.php//检查和注册外部提交的变量function CheckRequest(&$val) {    if (is_array($val))     {        foreach ($val as $_k=>$_v)         {            CheckRequest($_k);            CheckRequest($val[$_k]);        }    }     else    {        if( strlen($val)>0 && preg_match(‘#^(cfg_|GLOBALS)#‘,$val) )        {            exit(‘Request var not allow!‘);        }    }}2. /include/uploadsafe.inc.php//为了防止用户通过注入的可能性改动了数据库//这里强制限定的某些文件类型禁止上传$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";...if(!empty(${$_key.‘_name‘}) && (eregi("\.(".$cfg_not_allowall.")$",${$_key.‘_name‘}) || !ereg("\.",${$_key.‘_name‘})) ){    if(!defined(‘DEDEADMIN‘))    {        exit(‘Upload filetype not allow !‘);    }}

....if (preg_match(‘#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)$#i‘, trim($filename))) {    ShowMsg("你指定的文件名被系统禁止！",‘javascript:;‘);    exit();}$fullfilename = $cfg_basedir.$activepath.‘/‘.$filename;$fullfileurl = $activepath.‘/‘.$filename;....