联想某分站任意文件上传可控制服务器及修复-自学php网

主页 > 后端 > 网站安全 >

联想某分站任意文件上传可控制服务器及修复

来源：自学PHP网时间：2015-04-17 10:15 作者：阅读:次

[导读] 任意文件上传，导致可以执行脚本文件。1.url:http://lefen.lenovo.com/index.php/kebi/2.上传图片处，只验证了图片类型，未验证图片格式。（上传插入一句话内容的jpg文件，然后burp抓包，修改上...

任意文件上传，导致可以执行脚本文件。

1.url:http://lefen.lenovo.com/index.php/kebi/

2.上传图片处，只验证了图片类型，未验证图片格式。（上传插入一句话内容的jpg文件，然后burp抓包，修改上传文件后缀为php。）

Burp上传抓包修改php就不说了。

1.权限、版本

3.用户信息泄漏

4.另外，站点还有目录浏览

修复方案：

1.上传过滤

2.上传目录不允许脚本执行，或者上传至远程服务器

3.数据库弱口令 123456 lenovo 修改

百度贴吧新版吧务后台泄露用户完整的IP地址 -

开源代码管理：如何安全地使用开源库？ - 网站

最新评论

加载更多~~

添加评论

更多文章推荐

普通CPU与服务器CPU有何不同 - Windows操作系统 - 自 2015-04-17
FCK上传绕过安全狗一则经验谈 - 网站安全 - 自学 2015-04-17
十九楼存储型小松鼠（XSS），暗杀十九楼小帮办 2015-04-17
[安全科普]你必须了解的session的本质 - 网站安全 2015-04-16
汽车之家Andriod客户端反馈意见XSS漏洞 - 网站安全 2015-04-17
新浪生活服务互动社区Mysql盲注漏洞及修复 - 网站 2015-04-17
别把Vista系统防火墙当“摆设” - Windows操作系统 2015-04-17
XSS也能getshell - 网站安全 - 自学php 2015-04-17
宝马集团官网SQL盲注及修复 - 网站安全 - 自学p 2015-04-17
腾讯拍拍网多处xss及修复 - 网站安全 - 自学php 2015-04-17

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论