Fork me on GitHub

关于一次紧急加班

星期五马上下班,突然听闻微信一阵闪动,告知,负责渗透同事,发现网站安全漏洞,需要紧急修复,打开链接,发现,直接可以下载/passwd hosts文件,惊出一身冷汗,这个得赶紧修复。

分析原因:主要为此端口参数,未过滤,原XSS过滤器,未起作用
解决方案:增加参数过滤,采用正则表达式,将字段确定为只可以输入数字,其他的一律拦截,但是这样又有个缺点是,会造成原先业务的修改。

反思:原架构未曾考虑安全问题,导致,上传文件存储路径显示太过详细,给了黑客可乘之机。

吐槽:安全无小事,之前设想的再多还是会有遗漏。架构一定要考虑到安全的问题,要不然会出问题。

—————未经允许,不可转载—————