富文本编辑器漏洞
.net 一般的富文本编辑器都是使用 一般处理程序上传图片或者文件的 那么黑客就可以利用开发者的疏忽(没有判断权限)
直接通过伪造表单上传经过他更改过的木马文件 伪装成.jpg(各种图片格式)。
提交
上传完成之后只要访问一下这个路径(上传完成后会返回)
以上就是没有加权限判断导致的。任何人都能通过富文本编辑器上传文件
为了防止这样事情的发生,我们做一下调整
我们在用写的表单提交一下
这并不是什么漏洞,只是开发者忽略了权限控制这一块。导致网站经常被挂马呀 篡改啊...
.net 一般的富文本编辑器都是使用 一般处理程序上传图片或者文件的 那么黑客就可以利用开发者的疏忽(没有判断权限)
直接通过伪造表单上传经过他更改过的木马文件 伪装成.jpg(各种图片格式)。
提交
上传完成之后只要访问一下这个路径(上传完成后会返回)
以上就是没有加权限判断导致的。任何人都能通过富文本编辑器上传文件
为了防止这样事情的发生,我们做一下调整
我们在用写的表单提交一下
这并不是什么漏洞,只是开发者忽略了权限控制这一块。导致网站经常被挂马呀 篡改啊...
