摘要:
这段时间在discuz的门户上面加了一个批量上传的插件,来会搞了好几天 算是大功告成了,就是少了一个水印的功能。现在回顾下实现时候出现的一个问题,就是接收页面的权限问题。 首先我们知道,在文件上传的时候,接收页面是不可以直接被访问的。如果可以直接被访问的话,入侵者就可以很简单的构造第三方的post工具借助千面获取到的特定字段进行贝本地的传输。可以上传任意的文件到服务器上面,当然即使你的服务器在接收页面的上做了验证文件有效,但是实用cookie的时候就有你郁闷的了。入侵者可以在上传一个合法的文件,然后进行post抓包。可以很简单的抓取到相关的信息,比如提交的页面,cookie,等等信息。这其中. 阅读全文
