漏洞关键信息 受影响产品 名称: ONLINE MUSIC SITE 厂商主页 官方网站 受影响版本 版本: V1.0 软件链接 下载链接 漏洞类型 类型: 任意文件上传漏洞 根本原因 攻击者可以通过绕过文件类型检测(如 和 )上传恶意的特洛伊木马文件。 影响 攻击者可以上传恶意脚本并执行,直接控制服务器、窃取数据或发起进一步攻击,严重威胁系统安全。 描述 详细描述了通过 和 绕过文件类型检测上传恶意文件的过程。 漏洞详情和POC 请求包 文件名绕过和脚本上传 建议修复 1. 不仅通过 判断文件类型,还需要读取文件头字节特征等。 2. 严格限制文件后缀,白名单机制只允许特定类型(如 jpg、png、pdf)。 3. 安全存储和访问控制,上传文件到非Web可访问目录或后端程序读取,修改文件名防止路径猜测。