频道栏目
首页 > 安全 > 网站安全 > 正文

联想某分站任意文件上传可控制服务器及修复

2013-08-26 12:37:11            作者:Ivan
收藏   我要投稿
任意文件上传,导致可以执行脚本文件。


1.url:http://lefen.lenovo.com/index.php/kebi/

 

 

 

2.上传图片处,只验证了图片类型,未验证图片格式。(上传插入一句话内容的jpg文件,然后burp抓包,修改上传文件后缀为php。)

Burp上传抓包修改php就不说了。

 

1.权限、版本

 

 

2.数据库

 

3.用户信息泄漏

4.另外,站点还有目录浏览

 


修复方案:

1.上传 过滤

 

 

 

2.上传目录不允许脚本执行,或者上传至远程服务器

 

 

 

3.数据库弱口令 123456 lenovo 修改 

相关TAG标签 分站 服务器 文件
上一篇:百度贴吧新版吧务后台泄露用户完整的IP地址
下一篇:开源代码管理:如何安全地使用开源库?
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站