| 主题: 发现上传有漏洞,可以传入危险木马,请问有做改进吗 |
| 作者: foxlines, 发布日期: 2012-09-17 12:13:35, 浏览数: 3134 |
|
操作系统: xp
浏览器版本: ie8 KindEditor版本: 4.1 BUG再现步骤: 1.把木马文件改名为jpg 2.选择图片 3.打开源文件,修改“jpg”为“asp”。另存为后提交 期望结果: 能解决危险漏洞,提高安全性。 |
| 作者: Roddy, 发布日期: 2012-09-17 21:46:39 |
|
不太明白,能具体说明吗?
|
| 回复 |
| 作者: wave, 发布日期: 2012-09-18 16:09:42 |
|
意思就是我本地有一个木马页面1.aspx改名为1.jpg 上传后可以看到这个图片在编辑框内,他的地址假如是/upfile/1.jpg, 我这个时候改变编辑方式为源代码方式,这个时候看到的就是图片地址,把1.jpg的后缀改为aspx,就相当于是还原了木马 |
| 回复 |
| 作者: Roddy, 发布日期: 2012-09-18 21:28:29 |
|
回复wave:HTML里的img src本来可以随便改的呀,服务器上还是1.jpg,因为扩展名是jpg访问后没有影响。
|
| 回复 |
