請問如何對附件下載地址做鑒權處理，或對下載參數(shù)做處理？

白天也懂夜的黑

各位老師好，今日接到我們本地的公安局網(wǎng)安大隊送達的網(wǎng)站滲透測試報告，報告提及我網(wǎng)站存在“任意文件下載”高危漏洞，如下圖所示：

登錄/注冊后可看大圖

我很奇怪，正常情況下，所有的網(wǎng)站圖片都是可以下載的啊（包括政府網(wǎng)站），為啥我的網(wǎng)站圖片附件能正常下載就成為“高危漏洞”了？

登錄/注冊后可看大圖

網(wǎng)安那邊給出的修復建議是“對附件下載地址做鑒權處理，對下載參數(shù)做處理”，

在此請教下：
1、請問如何對附件下載地址做鑒權處理，或對下載參數(shù)做處理？


2、這個算是高危漏洞嗎？

我知道答案 回答被采納將會獲得1 貢獻 已有12人回答

科站網(wǎng)

這個本來就不做鑒權的，設計就是這樣的

湖中沉

門戶附件不就是給公開下載的嘛……

白天也懂夜的黑

湖中沉 發(fā)表于 2024-5-21 10:18
門戶附件不就是給公開下載的嘛……

我也是這樣理解的，我跟他們說，就是政府部門網(wǎng)站的圖片都可以隨意下載的，這個怎么能做為高危漏洞呢？ 這個該咋搞啊。

白天也懂夜的黑

科站網(wǎng) 發(fā)表于 2024-5-21 10:14
這個本來就不做鑒權的，設計就是這樣的

他們的意思應該是網(wǎng)站圖片鏈接不能存在以下規(guī)律性的，這樣會導致大眾可以通過“任意文件下載漏洞獲取所有用戶上傳至系統(tǒng)的附件資源文件”

訪問 http://www.abc.com/portal.php?mod=attachment&id=1獲取圖片

訪問 http://www.abc.com/portal.php?mod=attachment&id=2獲取圖片

訪問 http://www.abc.com/portal.php?mod=attachment&id=*獲取圖片

不知道這個要求是否合理，還是這個能算是高危漏洞嗎？如果不算是高危漏洞，那他們的滲透報告內容就太過隨意性了！

白天也懂夜的黑

湖中沉 發(fā)表于 2024-5-21 10:18
門戶附件不就是給公開下載的嘛……

我剛問了下網(wǎng)安那邊的技術人員，他們的意思是我們的網(wǎng)站圖片地址存在如下規(guī)律性
http://www.abc.com/portal.php?mod=attachment&id=1 （圖片1）
http://www.abc.com/portal.php?mod=attachment&id=2 （圖片2）
http://www.abc.com/portal.php?mod=attachment&id=* （圖片*）

這樣別人可以不用登錄我的網(wǎng)站，就可以通過以下規(guī)律下載我網(wǎng)站上的相關圖片等相關資源。

不知道這個問題能如何解決？

科站網(wǎng)

白天也懂夜的黑 發(fā)表于 2024-5-21 10:29
他們的意思應該是網(wǎng)站圖片鏈接不能存在以下規(guī)律性的，這樣會導致大眾可以通過“任意文件下載漏洞獲取所有 ...

是做等保嗎？等保可以解釋的，如果不聽解釋，可以做插件去做，可以分真鑒權、偽鑒權、偽靜態(tài)，三種方案

白天也懂夜的黑

科站網(wǎng) 發(fā)表于 2024-5-21 11:00
是做等保嗎？等保可以解釋的，如果不聽解釋，可以做插件去做，可以分真鑒權、偽鑒權、偽靜態(tài)，三種方案 ...

插件怎么做呢，收費多少？

一牛網(wǎng)

當?shù)鼐W(wǎng)安還會干這種事的？可以啊

科站網(wǎng)

白天也懂夜的黑 發(fā)表于 2024-5-21 11:23
插件怎么做呢，收費多少？

我建議先解釋，實在不行可以聯(lián)系簽名里的QQ