社区版 6.2.5
最近有安全公司做了扫描,发现一个高危漏洞。可以通过够着恶意的下载请求绕过密码访问共享url的文件
安全建议:文件分享处更改权限判断逻辑
请问怎么禁用url共享,或者怎么修复
另外两个与共享URL相关的低危漏洞
-
在没有密码的情况下获取该文件夹目录及文件名. 可修改get请求中的path值,实现目录遍历
安全建议:获取加密文件夹内容时,服务端先校验是否存在输入密码,再获取内容 -
暴力破解
安全建议:
增加防暴力破解安全机制。如:连续5次输入错误,进行锁定,1小时内无法再次尝试。