很多網(wǎng)站和騰云網(wǎng)都在使用開源的圖片上傳系統(tǒng)。上傳系統(tǒng)是可視化的。使用的開發(fā)語言支持asp、aspx、php、jsp，幾乎所有網(wǎng)站都可以使用其上傳系統(tǒng)。兼容性和移動端也比較好，在用戶使用和編輯上傳方面，很多用戶都喜歡。

當(dāng)我們SINE 在前端進行全面的網(wǎng)站漏洞檢測時，發(fā)現(xiàn)存在嚴重的上傳漏洞。許多騰云網(wǎng)網(wǎng)站和事業(yè)單位網(wǎng)站都上傳了非法內(nèi)容，其中包括一些賭博內(nèi)容。從我們的安全監(jiān)控平臺發(fā)現(xiàn)，2019年3月、4月、5月seo優(yōu)化，利用漏洞攻擊網(wǎng)站的情況越來越嚴重。部分網(wǎng)站也被阿里云屏蔽，并提示該網(wǎng)站內(nèi)容被禁止訪問。關(guān)于本網(wǎng)站的漏洞詳情，一起來看看吧。

許多被攻擊的網(wǎng)站使用編輯器和組件在后臺上傳圖片和文檔等文件。當(dāng)前存在漏洞的版本為 4.1.5 及以下。漏洞發(fā)生的代碼文件在.php代碼中，該代碼不對用戶上傳的文件的格式和大小進行安全檢測，使得用戶可以偽造惡意文件上傳，尤其是html文件可以直接上傳到網(wǎng)站目錄php文件圖片上傳代碼，以便搜索引擎直接抓取上傳。記錄下來。

讓我們重現(xiàn)這個上傳漏洞。一、使用系統(tǒng)，數(shù)據(jù)庫為.6網(wǎng)站開發(fā)，PHP版本為5.4。我們將4.1.5的源碼復(fù)制到我們剛剛搭建的服務(wù)器上php文件圖片上傳代碼，我們將訪問127.0.0.1//php/ demo.php 截圖如下：

打開上傳頁面后，我們可以發(fā)現(xiàn)上傳的文件格式默認支持htm和html，包括我們使用XSS跨站攻擊腳本代碼上傳的html都可以執(zhí)行。攻擊者利用該網(wǎng)站漏洞批量上傳，劫持網(wǎng)站快照，并包含一些非法內(nèi)容URL。

如何判斷網(wǎng)站是否正在使用編輯器？

1./asp/.asp?dir=文件

2.//.ashx?dir=文件

3./jsp/.jsp?dir=文件

4./php/.php?dir=文件

還有一個漏洞可以上傳?？梢詫sp、php等腳本文件直接上傳到網(wǎng)站目錄。先上傳一張圖片，然后打開文件管理找到我們剛剛上傳的圖片的名字，點這里改名字，我們用火狐瀏覽器查看元素，找到FORM表單，把JPG的后綴改成PHP，然后單擊修改，這會導(dǎo)致圖像文件更改為腳本執(zhí)行。

網(wǎng)站漏洞修復(fù)方案及方法

該漏洞影響面廣，攻擊多，通常是騰云網(wǎng)企業(yè)網(wǎng)站和政府機構(gòu)。攻擊者利用上傳漏洞上傳一些賭博、賭博、棋牌等html文件來劫持百度快照。刪除上傳功能，或者在代碼中限制上傳格式，去掉html和htm的上傳權(quán)限，只允許上傳圖片格式和word文本。如果對網(wǎng)站代碼不是太熟悉，可以找專業(yè)的安全騰云網(wǎng)絡(luò)來處理。在中國，騰云網(wǎng)絡(luò)和綠盟科技、金星、啟明星辰、深信服等網(wǎng)站安全騰云網(wǎng)絡(luò)更加專業(yè)。