记事狗设计缺陷导致可以删除网站任意图片

显示全部楼层 · 发表于 2012-4-23 08:02:20

路径处理不当导致注册用户可以删除网站上的任意图片

详细说明：

注册一个用户，登录后点击上传头像，比如地址为：
http://www.badguest.cn /jishigou30s/index.php?mod=settings&code=face
在最后面加上&temp_face=././images/noavatar.gif 再访问，然后我的头像那块就会加载这个图片，直接点击下面的“确认”，头像木有修改成功，但是noavatar.gif这个文件却被删掉了。
漏洞证明：

随便找个记事狗的站就可以证明了。（图片需要有可写权限）
修复方案：

对于前台输入的路径都进行强制判断并过滤

由于网站在上传头像完成时删除临时文件的判断不严格，造成此漏洞，感谢反馈，已经提供相应修复补丁，并更新相关下载。
详见：http://cenwor.com/thread-12847-1-1.html