好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

anwsion最新版本任意上传 - 网站安全 - 自学php

上传附件地方没有好好处理文件后缀问题:

 

 

 

 

判断的是文件头没有判断后缀问题。。。。。。。。

 

漏洞 证明:

http://wenda.anwsion.com/uploads/questions/20121126/e826a3e05a4beb6c24373ba014fe39f8.php pass

 

合并图片一句话木马成功~!!!!!

 

http://wenda.anwsion.com/robots.txt 

 

 

修复方案:

判断文件后缀,限制jpg png gif 等后缀其他的后缀 直接随机算法 加密  

查看更多关于anwsion最新版本任意上传 - 网站安全 - 自学php的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14390
  阅读:45次

上一篇: ecshop全版本注入分析 - 网站安全 - 自学php

下一篇:Ruby on Rails XML参数注入漏洞(CVE-2013-0156)分析 - 网

相关资讯