路徑處理不當導致注冊用戶可以刪除網(wǎng)站上的任意圖片
詳細說明:
注冊一個用戶,登錄后點擊上傳頭像,比如地址為:
http://www.badguest.cn /jishigou30s/index.php?mod=settings&code=face
在最后面加上&temp_face=././images/noavatar.gif 再訪問,然后我的頭像那塊就會加載這個圖片,直接點擊下面的“確認”,頭像木有修改成功,但是noavatar.gif這個文件卻被刪掉了。
漏洞證明:
隨便找個記事狗的站就可以證明了。(圖片需要有可寫權(quán)限)
修復(fù)方案:
對于前臺輸入的路徑都進行強制判斷并過濾
由于網(wǎng)站在上傳頭像完成時刪除臨時文件的判斷不嚴格,造成此漏洞,感謝反饋,已經(jīng)提供相應(yīng)修復(fù)補丁,并更新相關(guān)下載。