男的舔女的下面视频在线播放-少妇愉情理仑片高潮日本-久久久久久国产一区二区三区-麻豆精品一区二区综合-国产精品超碰在线观看-网红极品女神精品视频在线-国产亚洲综合777-高清性视频一区二区播放-中文字幕第一页亚洲天堂

Discuz! 官方交流社區(qū)

標(biāo)題: 請(qǐng)問(wèn)如何對(duì)附件下載地址做鑒權(quán)處理，或?qū)ο螺d參數(shù)做處理？ [打印本頁(yè)]

作者: 白天也懂夜的黑 時(shí)間: 2024-5-21 10:02
標(biāo)題: 請(qǐng)問(wèn)如何對(duì)附件下載地址做鑒權(quán)處理，或?qū)ο螺d參數(shù)做處理？
各位老師好，今日接到我們本地的公安局網(wǎng)安大隊(duì)送達(dá)的網(wǎng)站滲透測(cè)試報(bào)告，報(bào)告提及我網(wǎng)站存在“任意文件下載”高危漏洞，如下圖所示：

(, 下載次數(shù): 320)

我很奇怪，正常情況下，所有的網(wǎng)站圖片都是可以下載的啊（包括政府網(wǎng)站），為啥我的網(wǎng)站圖片附件能正常下載就成為“高危漏洞”了？

(, 下載次數(shù): 311)

網(wǎng)安那邊給出的修復(fù)建議是“對(duì)附件下載地址做鑒權(quán)處理，對(duì)下載參數(shù)做處理”，

在此請(qǐng)教下：
1、請(qǐng)問(wèn)如何對(duì)附件下載地址做鑒權(quán)處理，或?qū)ο螺d參數(shù)做處理？

2、這個(gè)算是高危漏洞嗎？

作者: 科站網(wǎng) 時(shí)間: 2024-5-21 10:14
這個(gè)本來(lái)就不做鑒權(quán)的，設(shè)計(jì)就是這樣的

作者: 湖中沉 時(shí)間: 2024-5-21 10:18
門戶附件不就是給公開(kāi)下載的嘛……

作者: 白天也懂夜的黑 時(shí)間: 2024-5-21 10:21

湖中沉發(fā)表于 2024-5-21 10:18
門戶附件不就是給公開(kāi)下載的嘛……

我也是這樣理解的，我跟他們說(shuō)，就是政府部門網(wǎng)站的圖片都可以隨意下載的，這個(gè)怎么能做為高危漏洞呢？這個(gè)該咋搞啊。

作者: 白天也懂夜的黑 時(shí)間: 2024-5-21 10:29

科站網(wǎng) 發(fā)表于 2024-5-21 10:14
這個(gè)本來(lái)就不做鑒權(quán)的，設(shè)計(jì)就是這樣的

他們的意思應(yīng)該是網(wǎng)站圖片鏈接不能存在以下規(guī)律性的，這樣會(huì)導(dǎo)致大眾可以通過(guò)“任意文件下載漏洞獲取所有用戶上傳至系統(tǒng)的附件資源文件”

訪問(wèn) http://www.abc.com/portal.php?mod=attachment&id=1獲取圖片

訪問(wèn) http://www.abc.com/portal.php?mod=attachment&id=2獲取圖片

訪問(wèn) http://www.abc.com/portal.php?mod=attachment&id=*獲取圖片

不知道這個(gè)要求是否合理，還是這個(gè)能算是高危漏洞嗎？如果不算是高危漏洞，那他們的滲透報(bào)告內(nèi)容就太過(guò)隨意性了！

作者: 白天也懂夜的黑 時(shí)間: 2024-5-21 10:58

湖中沉發(fā)表于 2024-5-21 10:18
門戶附件不就是給公開(kāi)下載的嘛……

我剛問(wèn)了下網(wǎng)安那邊的技術(shù)人員，他們的意思是我們的網(wǎng)站圖片地址存在如下規(guī)律性
http://www.abc.com/portal.php?mod=attachment&id=1 （圖片1）
http://www.abc.com/portal.php?mod=attachment&id=2 （圖片2）
http://www.abc.com/portal.php?mod=attachment&id=* （圖片*）

這樣別人可以不用登錄我的網(wǎng)站，就可以通過(guò)以下規(guī)律下載我網(wǎng)站上的相關(guān)圖片等相關(guān)資源。

不知道這個(gè)問(wèn)題能如何解決？

作者: 科站網(wǎng) 時(shí)間: 2024-5-21 11:00

白天也懂夜的黑發(fā)表于 2024-5-21 10:29
他們的意思應(yīng)該是網(wǎng)站圖片鏈接不能存在以下規(guī)律性的，這樣會(huì)導(dǎo)致大眾可以通過(guò)“任意文件下載漏洞獲取所有 ...

是做等保嗎？等保可以解釋的，如果不聽(tīng)解釋，可以做插件去做，可以分真鑒權(quán)、偽鑒權(quán)、偽靜態(tài)，三種方案

作者: 白天也懂夜的黑 時(shí)間: 2024-5-21 11:23

科站網(wǎng) 發(fā)表于 2024-5-21 11:00
是做等保嗎？等保可以解釋的，如果不聽(tīng)解釋，可以做插件去做，可以分真鑒權(quán)、偽鑒權(quán)、偽靜態(tài)，三種方案 ...

插件怎么做呢，收費(fèi)多少？

作者: 一牛網(wǎng) 時(shí)間: 2024-5-21 11:28
當(dāng)?shù)鼐W(wǎng)安還會(huì)干這種事的？可以啊

作者: 科站網(wǎng) 時(shí)間: 2024-5-21 11:33

白天也懂夜的黑發(fā)表于 2024-5-21 11:23
插件怎么做呢，收費(fèi)多少？

我建議先解釋，實(shí)在不行可以聯(lián)系簽名里的QQ

作者: 湖中沉 時(shí)間: 2024-5-21 11:33
只能說(shuō)這個(gè)網(wǎng)安有點(diǎn)沒(méi)事找事。本來(lái)就是公開(kāi)下載的東西，鑒什么權(quán)？

作者: 白天也懂夜的黑 時(shí)間: 2024-5-21 12:25

湖中沉發(fā)表于 2024-5-21 11:33
只能說(shuō)這個(gè)網(wǎng)安有點(diǎn)沒(méi)事找事。本來(lái)就是公開(kāi)下載的東西，鑒什么權(quán)？

他們說(shuō)是從網(wǎng)絡(luò)安全技術(shù)層面上定義此為高危漏洞...

作者: pcyi 時(shí)間: 2024-5-21 15:45
應(yīng)該解釋下就可以，網(wǎng)安應(yīng)該也是知道這些東西的

歡迎光臨 Discuz! 官方交流社區(qū) (http://m.sdtechgong.com.cn/)