网站允许上传图片可能带来的漏洞之 - 被上传恶意文件

[网络安全] 季雨林 2020/11/21 21:02:15

今天看到一个跟富文本编辑器相关的帖子。


很多人做网站,都会有内容提交相关,这时候,富文本编辑器也就非常必要了。今天我要提的一点,就是关于文件上传功能,可能是个系统弱点。


去年的4月份,我的网站博客数据库,遇到了一次脱库事件(脱库释义:数据库被黑客拿走),详见《公告:openGPS.cn于2019.4.6号遭遇一次SQL攻击》


事件的过程我也做了分析,是几个弱点的组合,其中,攻击步骤中,包含了允许公开上传一项。

虽然上次的事件中,上传文件并不是通过本站的富文本编辑器导致。实际上,从那次事件之后,我留意到一个问题,就是从后端的访问日志中可以发现,来自公网的扫描器,扫描路径就包含了几个比较常见的富文本编辑器的上传入口地址。从那时起,我才理解到上传入口的安全问题。


来自第三方的富文本编辑器,毕竟是个独立模块,所以对于大部分人来说,都是简单对接就开始使用,往往没有深度的去防护,文件上传入口往往是“非登录状态要求的”。这就意味着,匿名访客就可以使用该路径进行渗透操作。当然,单纯的一步上传,只能让文件进入,未必能让文件运行,运行文件用到的会是其他的步骤,本文不做进一步展开解释。


原文地址: https://www.opengps.cn/Blog/View.aspx?id=817 文章的更新编辑依此链接为准。欢迎关注源站原创文章!

评论

暂无评论!

发表评论:

用于接收作者回复信息
点击更换验证码 - openGPS提示


鲁ICP备14008001号-2