Ⅰ、漏洞描述
App托管服务分发平台是指一种云计算服务模式,允许开发者将应用程序部署到云端,然后通过平台提供的管理和分发机制,将应用程序交付给最终用户。这种平台通常提供了自动化的构建、测试、部署、监控和升级等功能,帮助开发者更方便地管理和维护应用程序。
App托管服务分发平台 index-uplog.php接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
Ⅱ、FOFA语句
body="/api/statistics/service-usage-amount"Ⅲ、漏洞复现
1、发送数据包上传文件
2、上传成功
Ⅳ、Nuclei-POC
Ⅴ、修复建议
1、限制访问来源地址,如非必要,不要将系统开放在互联网上;
2、文件类型白名单:仅允许上传预先批准的文件类型,并拒绝所有其他文件;
3、定期安全更新:及时应用安全更新和补丁,以修复任何已发现的漏洞。
原文始发于微信公众号(伟大航路D):【漏洞复现】App托管服务分发平台 index-uplog.php接口处存在任意文件上传漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论