关键信息 受影响产品 产品名称: Recruitment Management System 版本: 1.0 受影响文件: /admin/index.php 漏洞类型 类型: 文件名控制 (Filename Control) 根因 应用程序直接使用用户可控参数 构建路径并传递给 函数,未进行任何验证、过滤或白名单处理。 影响 攻击者可以构造恶意参数值来指定任意本地文件进行包含,从而执行恶意代码或读取敏感数据。 描述 在对Recruitment Management System项目的安全评估中,在核心入口文件 中发现了一个高风险的本地文件包含(LFI)漏洞。该漏洞是由于应用程序文件包含逻辑中对用户输入参数 处理不当造成的。 登录要求 利用此漏洞需要登录或授权。 默认凭证: Username: admin, Password: admin123 漏洞利用示例 推荐缓解措施 使用预定义路径和文件名白名单。 对所有传入数据进行严格的数据验证和清理。 实施Web应用防火墙(WAF)。 遵循数据库用户的最小权限原则(PoLP)。 定期更新和修补应用程序。 监控日志以检测可疑活动。