Foxtable(狐表)用户栏目专家坐堂 → HttpTempFiles临时文件夹漏洞


  共有2622人关注过本帖树形打印复制链接

主题:HttpTempFiles临时文件夹漏洞
帅哥哟,离线,有人找我吗?
肥肥记
   1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:小狐 帖子:356 积分:2942 威望:0 精华:0 注册:2016/9/15 11:50:00 		HttpTempFiles临时文件夹漏洞  发帖心情 Post By:2020/5/27 15:49:00 [只看该作者]

可能发现了HttpTempFiles临时文件夹漏洞,客户端上传文件给服务器,不再服务器接收许可的文件会暂存在这个文件中,如图所示服务器端不接受.tar.gz文件,客户端上传后会变成没有扩展名的临时文件


使用版本是20200119


图片点击可在新窗口打开查看此主题相关图片如下:临时文件.png
图片点击可在新窗口打开查看
 回到顶部
帅哥哟,离线,有人找我吗?
有点蓝
   2楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:超级版主 帖子:107757 积分:548124 威望:0 精华:9 注册:2015/6/24 9:21:00 		  发帖心情 Post By:2020/5/27 16:32:00 [只看该作者]

写了什么代码?这个文件夹退出项目后会自动清空的

 回到顶部
帅哥哟,离线,有人找我吗?
肥肥记
   3楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:小狐 帖子:356 积分:2942 威望:0 精华:0 注册:2016/9/15 11:50:00 		  发帖心情 Post By:2020/5/27 20:13:00 [只看该作者]

就是按帮助里做的,只是限定了扩展名,最先是发现黑客用的PHP上传文件,服务器会自动接收到临时文件,因为不允许扩展名不符的上传,服务器会报错终止程序,所以临时文件就没被删除, 我在想如果黑客上传几个G的文件,临时文件也会撑爆服务器硬盘的

 回到顶部
帅哥哟,离线,有人找我吗?
肥肥记
   4楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:小狐 帖子:356 积分:2942 威望:0 精华:0 注册:2016/9/15 11:50:00 		  发帖心情 Post By:2020/5/27 20:15:00 [只看该作者]

建议上传前有校验事件,不符合的直接阻挡上传

 回到顶部
帅哥哟,离线,有人找我吗?
肥肥记
   5楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:小狐 帖子:356 积分:2942 威望:0 精华:0 注册:2016/9/15 11:50:00 		  发帖心情 Post By:2020/5/27 20:17:00 [只看该作者]

另外我上传是用的HttpClient测试的  方便省事

 回到顶部
帅哥哟,离线,有人找我吗?
肥肥记
   6楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:小狐 帖子:356 积分:2942 威望:0 精华:0 注册:2016/9/15 11:50:00 		  发帖心情 Post By:2020/5/27 20:23:00 [只看该作者]


图片点击可在新窗口打开查看此主题相关图片如下:临时文件3.png
图片点击可在新窗口打开查看

图片点击可在新窗口打开查看此主题相关图片如下:临时文件2.png
图片点击可在新窗口打开查看
 回到顶部
帅哥哟,离线,有人找我吗?
有点蓝
   7楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:超级版主 帖子:107757 积分:548124 威望:0 精华:9 注册:2015/6/24 9:21:00 		  发帖心情 Post By:2020/5/28 9:22:00 [只看该作者]

贴出服务端接收代码看看

 回到顶部
RSS2.0 | Xhtml无图版 | Xslt无图版 Copyright © 2000 - 2018 foxtable.com Tel: 4000-810-820 粤ICP备11091905号
   Powered By Dvbbs Version 8.3.0
页面执行时间 0.04297 秒, 4 次数据查询