万户oa系统对发布公告的图片上传控制不严,造成可以上传任意文件! 详细说明: 打开公告中上传图片的页面查看url如下: http://www.2cto.com /defaultroot/public/ jsp /multiupload.jsp?path=information&fileName=infoPicName&saveName=infoPicSaveName&tableName=infoPicTable&fileMaxSize=0&fileMaxNum=0&fileType=gif,jpg,bmp,jpeg,png&fileMinWidth=0&fileMinHeight=0&fileMaxWidth=0&fileMaxHeight=0 将url中得fileType参数后面加上.jsp,刷新一下,即可上传jsp文件。 修复方案: 这个不用交了吧!鄙视一下做上传的程序猿! 作者 SZn
查看更多关于WanHu ezoffice控制不严格致上传任意文件漏洞 - 网站的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did12062