<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("漏洞,文件,文件名,上传,函数") PageTitle=stripHTML("PHP任意文件上传漏洞(CVE-2015-2348)") ArticleIntro=stripHTML("平安研讨人员明天发布了一个中危破绽——PHP恣意文件上传破绽(CVE-2015-2348)。在上传文件的时分只判别文件名是合法的文件名就判定这个文件不是歹意文件,这的确会招致其他平安成绩。") Articlecontent=stripHTML(" 安全研究人员今天发布了一个中危漏洞——PHP任意文件上传漏洞(CVE-2015-2348)。在上传文件的时候只判断文件名是合法的文件名就断定这个文件不是恶意文…") ModuleName = stripHTML("exploits") InfoID = stripHTML("195411") ChannelShortName=stripHTML("漏洞") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("exploits") %> PHP任意文件上传漏洞(CVE-2015-2348) - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 漏洞 >> shellcode >> 正文

PHP任意文件上传漏洞(CVE-2015-2348)

2015/4/2 作者:Conermx 来源: FreeBuf
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

 

安全研究人员今天发布了一个中危漏洞——PHP任意文件上传漏洞(CVE-2015-2348

在上传文件的时候只判断文件名是合法的文件名就断定这个文件不是恶意文件,这确实会导致其他安全问题。并且在这种情况下,在你自己的文件中检查漏洞很不现实,因为这个漏洞可以绕过你对文件名后缀、文件类型(Content-Type)、Mime type、文件大小等的检查,所以仅仅依靠这些检查是救不了你的。



  • 上一篇漏洞:

  • 下一篇漏洞: 没有了