高危 博采互动系统上传漏洞
WASC Threat Classification
- 发现时间:
-
2013-12-03
- 漏洞类型:
-
文件上传
- 所属建站程序:
-
Bocweb
- 所属服务器类型:
-
通用
- 所属编程语言:
-
PHP
- 描述:
- 系统采用的是uploadify上传插件,由于对上传文件的类型缺少安全处理,同时存在越权问题,导致攻击者可以上传恶意脚本到目标网站
- 危害:
- 攻击者可以上传任意文件(包括后门文件等),从而完全控制您的服务器。
- 解决方案:
-
1. 官方已出补丁,可与官方联系:http://www.bocweb.cn/;
2. 加入360网站卫士防护:http://wangzhan.360.cn/;
Ps:修复漏洞后,删除网站根目录下的scan_upload.txt文件。
如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载