怎么禁用或加密url共享


#1

社区版 6.2.5
最近有安全公司做了扫描,发现一个高危漏洞。可以通过够着恶意的下载请求绕过密码访问共享url的文件
安全建议:文件分享处更改权限判断逻辑

请问怎么禁用url共享,或者怎么修复

另外两个与共享URL相关的低危漏洞

  1. 在没有密码的情况下获取该文件夹目录及文件名. 可修改get请求中的path值,实现目录遍历
    安全建议:获取加密文件夹内容时,服务端先校验是否存在输入密码,再获取内容

  2. 暴力破解
    安全建议:
    增加防暴力破解安全机制。如:连续5次输入错误,进行锁定,1小时内无法再次尝试。