·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
返回列表 发布新帖

请问如何对附件下载地址做鉴权处理,或对下载参数做处理? New

177 9
发表于 2024-5-21 11:45:57 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
各位老师好,今日接到我们本地的公安局网安大队送达的网站渗透测试报告,报告提及我网站存在“任意文件下载”高危漏洞,如下图所示:


请问如何对附件下载地址做鉴权处理,或对下载参数做处理?
New
 测试,图片,10,65737,New


我很奇怪,正常情况下,所有的网站图片都是可以下载的啊(包括政府网站),为啥我的网站图片附件能正常下载就成为“高危漏洞”了?

请问如何对附件下载地址做鉴权处理,或对下载参数做处理?
New
 测试,图片,10,65737,New


网安那边给出的修复建议是“对附件下载地址做鉴权处理,对下载参数做处理”,

在此请教下:
1、请问如何对附件下载地址做鉴权处理,或对下载参数做处理?


2、这个算是高危漏洞吗?

我知道答案 回答被采纳将会获得1 贡献 已有10人回答
我要说一句 收起回复
创宇盾启航版免费网站防御网站加速服务

评论9

CrystαlLv.8 发表于 2024-5-21 11:46:18 | 查看全部
这个本来就不做鉴权的,设计就是这样的
我要说一句 收起回复
CrystαlLv.8 发表于 2024-5-21 11:46:35 | 查看全部
门户附件不就是给公开下载的嘛……
我要说一句 收起回复
CrystαlLv.8 发表于 2024-5-21 11:47:16 | 查看全部
我也是这样理解的,我跟他们说,就是政府部门网站的图片都可以随意下载的,这个怎么能做为高危漏洞呢? 这个该咋搞啊。
我要说一句 收起回复
拾光Lv.8 发表于 2024-5-21 11:47:57 | 查看全部
他们的意思应该是网站图片链接不能存在以下规律性的,这样会导致大众可以通过“任意文件下载漏洞获取所有用户上传至系统的附件资源文件”

访问 http://www.abc.com/portal.php?mod=attachment&id=1获取图片

访问 http://www.abc.com/portal.php?mod=attachment&id=2获取图片

访问 http://www.abc.com/portal.php?mod=attachment&id=*获取图片

不知道这个要求是否合理,还是这个能算是高危漏洞吗?如果不算是高危漏洞,那他们的渗透报告内容就太过随意性了!
我要说一句 收起回复
婷姐Lv.8 发表于 2024-5-21 11:48:11 | 查看全部
我刚问了下网安那边的技术人员,他们的意思是我们的网站图片地址存在如下规律性
http://www.abc.com/portal.php?mod=attachment&id=1 (图片1)
http://www.abc.com/portal.php?mod=attachment&id=2 (图片2)
http://www.abc.com/portal.php?mod=attachment&id=* (图片*)

这样别人可以不用登录我的网站,就可以通过以下规律下载我网站上的相关图片等相关资源。

不知道这个问题能如何解决?
我要说一句 收起回复
独家记忆Lv.8 发表于 2024-5-21 11:49:02 | 查看全部
是做等保吗?等保可以解释的,如果不听解释,可以做插件去做,可以分真鉴权、伪鉴权、伪静态,三种方案
我要说一句 收起回复
拾光Lv.8 发表于 2024-5-21 11:49:11 | 查看全部
插件怎么做呢,收费多少?
我要说一句 收起回复
浅生Lv.8 发表于 2024-5-21 11:50:03 | 查看全部
当地网安还会干这种事的?可以啊
我要说一句 收起回复
婷姐Lv.8 发表于 2024-5-21 11:50:26 | 查看全部
我建议先解释,实在不行可以联系签名里的QQ
我要说一句 收起回复

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.117.105.184,GMT+8, 2024-12-28 03:29 , Processed in 0.127291 second(s), 127 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表