声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究
EnjoySCM简介
EnjoySCM是一款适应于零售企业的供应链管理软件,主要为零售企业的供应商提供服务。供应链管理(Supply Chain Management简称SCM)是一个将产品、服务和信息从供应商到客户最优化传递的过程,是在交易伙伴群体中,围绕着满足最终用户这一共同的目标所形成的一系列业务过程。
漏洞描述
enjoyscm UploadFile参数存在 任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。
危害
非法用户可以上传的恶意文件控制整个网站,甚至是控制服务器。
漏洞复现
使用脚本进行检测
漏洞修复
1、禁止未授权进行文件上传操作
2、设置上传文件类型,只允许上传特定文件类型
3、内容检测:文件头,完整性检测。
脚本已放置星球
欢 迎 加 入 星 球 !
代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员
进成员内部群
星球的最近主题和星球内部工具一些展示
推荐阅读
原文始发于微信公众号(鹏组安全):enjoyscm UploadFile任意文件上传漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论