百度Ueditor开源编辑器Java版本jsp文件上传漏洞
系统默认的文件上传处理jsp过滤不严导致可以上传jsp文件,jsp你懂得系统权限 可以执行任意命令
问题出在imageUp.jsp这里使用java正则表达式验证上传文件的文件名
重新设置文件名的时候,没有使用lastIndexOf()方法来找最后一个点,导致可以上传xx.jpg.jsp,xx.png.jsp
等类型文件,强烈建议官方修改这个,虽然官方声明此上传jsp做示例
但很多程序员,站长,基本没有修改就使用了
上一篇:再次遇见蛋疼CDN与护卫神
下一篇:腾讯QQ聊天可信网址检测绕过技巧