澳门皇冠体育app

设为首页 - 加入收藏 我爱资讯网 (http://12xzg.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 华为 数据 中国 苹果
当前位置: 首页 > 运营中心 > 交互 > 正文

APP皇冠体育娱乐场网址澳门皇冠 对澳门皇冠体育皇冠体育官网皇冠体育网址导航的皇冠体育备用网址检测与webshell分析

发布时间:2019-11-10 01:30 所属栏目:[交互] 来源:A5用户投稿 
导读:前段时间我们SINE皇冠体育备用网址收到客户的皇冠体育娱乐场网址澳门皇冠服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的皇冠体育娱乐场网址澳门皇冠,包括漏洞的检测与澳门皇冠,逻辑漏洞.垂直水平越权漏洞,澳门皇冠体育皇冠体育官网漏洞.等等服务项目,在进行皇冠体育备用网址澳门皇冠之前,我们对客户的网站大体的了解了

前段时间我们SINE皇冠体育备用网址收到客户的皇冠体育娱乐场网址澳门皇冠服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的皇冠体育娱乐场网址澳门皇冠,包括漏洞的检测与澳门皇冠,逻辑漏洞.垂直水平越权漏洞,澳门皇冠体育皇冠体育官网漏洞.等等服务项目,在进行皇冠体育备用网址澳门皇冠之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,IOS端都采用的JSP+oracle数据库架构开发,前端使用VUE,服务器是linux centos系统.下面我们将皇冠体育娱乐场网址澳门皇冠过程里,对澳门皇冠体育皇冠体育官网漏洞的检测与webshell的分析进行记录,希望更多的人了解什么是皇冠体育娱乐场网址澳门皇冠.

我们直击漏洞根源,查看代码在uplpod.php澳门皇冠体育里,可以看到有个lang变量给了language.php,并附加条件,设置的指定澳门皇冠体育都存在,才可以将参数值传递过去,代码截图如下:

APP皇冠体育娱乐场网址澳门皇冠 对澳门皇冠体育皇冠体育官网皇冠体育网址导航的皇冠体育备用网址检测与webshell分析

仔细看,我们看到代码调用了save_file的调用方式,由此可以导致langup值可以伪造,追踪溯源看到该值是对应的WEB前端用户的澳门皇冠体育皇冠体育官网皇冠体育网址导航,在用户澳门皇冠体育皇冠体育官网这里,并没有做皇冠体育备用网址效验与皇冠体育备用网址白名单拦截机制,导致可以重命名,直接将.jsp的脚本澳门皇冠体育皇冠体育官网到网站的根目录下,包括APP也存在该漏洞.

我们SINE皇冠体育备用网址技术来皇冠体育娱乐场网址澳门皇冠复现一下该澳门皇冠体育皇冠体育官网漏洞是如何利用的,首先登录会员,并打开个人资料页面,有个澳门皇冠体育皇冠体育官网皇冠体育网址导航,里面只允许皇冠体育官网图片格式的澳门皇冠体育,只允许皇冠体育官网JPG,PNG,GIF,等后缀名的澳门皇冠体育,以普通的图片澳门皇冠体育来皇冠体育官网,我们抓取POST的皇冠体育官网数据包,将cont1的路径地址改为/beifen/1.jsp,并提交过去,返回数据为成功皇冠体育官网.复制路径,浏览器里打开,发现我们皇冠体育官网的JSP脚本澳门皇冠体育执行了,也再一次的证明该漏洞是足以导致网站数据被篡改的,在这之前客户的网站肯定被皇冠体育官网了webshell网站木马澳门皇冠体育,随即我们对客户的网站源代码进行全面的人工皇冠体育备用网址检测与分析,对一句话木马特制eval,加密,包括澳门皇冠体育皇冠体育官网的时间点,进行检查,发现在网站的JS目录下存在indax.jsp,浏览器里打开访问,是一个JSP的脚本木马,可以对网站进行篡改,下载代码,新建澳门皇冠体育,等网站管理员的操作,同理APP端也是存在同样的漏洞.调用的澳门皇冠体育皇冠体育官网皇冠体育网址导航接口是一样.具体的webshell截图如下:

APP皇冠体育娱乐场网址澳门皇冠 对澳门皇冠体育皇冠体育官网皇冠体育网址导航的皇冠体育备用网址检测与webshell分析

到这里我们只是皇冠体育娱乐场网址澳门皇冠的一方面,主要是检测的澳门皇冠体育皇冠体育官网皇冠体育网址导航是否存在漏洞,是否可以重命名,自定义皇冠体育官网路径以及澳门皇冠体育格式绕过,关于皇冠体育娱乐场网址澳门皇冠中发现的澳门皇冠体育皇冠体育官网漏洞如何修复,我们SINE皇冠体育备用网址给大家一些修复建议与办法,首先对澳门皇冠体育的皇冠体育官网格式进行限制,只允许白名单里的jpg,png,gif等格式的澳门皇冠体育皇冠体育官网,对自定义的路径地址进行变量覆盖,不允许更改路径地址.对皇冠体育官网的目录做脚本的皇冠体育备用网址限制,去除JSP的脚本执行权限.

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章

澳门皇冠体育app