2014-05-11:细节已通知厂商并且等待厂商处理中
2014-05-12:厂商已经确认,细节仅向厂商公开
2014-05-22:细节向核心白帽子及相关领域专家公开
2014-06-01:细节向普通白帽子公开
2014-06-11:细节向实习白帽子公开
2014-06-25:细节向公众公开
治病得治根,删除shell只是掩耳盗铃的效果!希望管理员注重安全问题。
详细说明:看看这漏洞公布了,发现既然根目录下面有shell,那就代表网站存在缺陷.随便检测下,发现用户上传图像地方没有进行任何过滤。
<a href="/bugs/wooyun-2013-045288">赛迪网分站发现webshell一枚</a>
首先注册用户--然后上传用户图片(直接上传任意文件),所以你懂的。
shell地址:http://ccidstudy.ccidnet.com/data/uploads/13885780381.php
漏洞证明:
修复方案:
1、上传文件进行校验
2、管理员不好忽视表面的问题,网站目录下面全是后门,请注重严查。
3、20RANK有木有~
危害等级:中
漏洞Rank:8
确认时间:2014-05-12 09:20
厂商回复:谢谢关注,已经着手处理
最新状态:2014-05-12:该应用已经停止服务,目前仍在线未处理,稍后会做删除处理。