通过前台的注册功能,注册帐号 然后用该帐号到后台登录.可以登录成功. 登录成功后,在上传图片处,服务器端没有进行过滤,可以上传PHP 一句话webshell,可直接获得服务器和数据库. 上传了一句话的webshell. 修复方案: 前台用户名禁止后台登录,帐号不能一致 对上
通过前台的注册功能,注册帐号
然后用该帐号到后台登录.可以登录成功.
登录成功后,在上传图片处,服务器端没有进行过滤,可以上传PHP 一句话webshell,可直接获得服务器和数据库.
上传了一句话的webshell.
修复方案:
前台用户名禁止后台登录,帐号不能一致
对上传文件格式进行服务端验证.
控制好用户后台的操作权限.