请问如何对附件下载地址做鉴权处理，或对下载参数做处理？ New

惧愁人 · 发表于 2024-5-21 11:45:57

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

各位老师好，今日接到我们本地的公安局网安大队送达的网站渗透测试报告，报告提及我网站存在“任意文件下载”高危漏洞，如下图所示：

请问如何对附件下载地址做鉴权处理，或对下载参数做处理？
New
测试,图片,10,65737,New

我很奇怪，正常情况下，所有的网站图片都是可以下载的啊（包括政府网站），为啥我的网站图片附件能正常下载就成为“高危漏洞”了？

请问如何对附件下载地址做鉴权处理，或对下载参数做处理？
New
测试,图片,10,65737,New

网安那边给出的修复建议是“对附件下载地址做鉴权处理，对下载参数做处理”，

在此请教下：
1、请问如何对附件下载地址做鉴权处理，或对下载参数做处理？

2、这个算是高危漏洞吗？

我知道答案回答被采纳将会获得1 贡献已有10人回答

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
网站部分内容来源于网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

Crystαl · 发表于 2024-5-21 11:46:18

这个本来就不做鉴权的，设计就是这样的

Crystαl · 发表于 2024-5-21 11:46:35

门户附件不就是给公开下载的嘛……

Crystαl · 发表于 2024-5-21 11:47:16

我也是这样理解的，我跟他们说，就是政府部门网站的图片都可以随意下载的，这个怎么能做为高危漏洞呢？这个该咋搞啊。

拾光 · 发表于 2024-5-21 11:47:57

他们的意思应该是网站图片链接不能存在以下规律性的，这样会导致大众可以通过“任意文件下载漏洞获取所有用户上传至系统的附件资源文件”

访问 http://www.abc.com/portal.php?mod=attachment&id=1获取图片

访问 http://www.abc.com/portal.php?mod=attachment&id=2获取图片

访问 http://www.abc.com/portal.php?mod=attachment&id=*获取图片

不知道这个要求是否合理，还是这个能算是高危漏洞吗？如果不算是高危漏洞，那他们的渗透报告内容就太过随意性了！

婷姐 · 发表于 2024-5-21 11:48:11

我刚问了下网安那边的技术人员，他们的意思是我们的网站图片地址存在如下规律性
http://www.abc.com/portal.php?mod=attachment&id=1 （图片1）
http://www.abc.com/portal.php?mod=attachment&id=2 （图片2）
http://www.abc.com/portal.php?mod=attachment&id=* （图片*）

这样别人可以不用登录我的网站，就可以通过以下规律下载我网站上的相关图片等相关资源。

不知道这个问题能如何解决？