文件上传点没有加入身份验证,并存在目录穿越可能 - Githubissues

greyli / bluelog

Check out the newer version (2024) of this project: https://github.com/greyli/greybook

MIT License

454 stars 662 forks source link

文件上传点没有加入身份验证,并存在目录穿越可能 #44

Closed Mz1z closed 1 year ago

Mz1z commented 1 year ago

如图部分，存在漏洞，建议增加身份验证，并对文件进行重命名。

mutalisk999 commented 1 year ago

是的，我也有这种感觉，现在是通过拼接原始filename的方式构建出保存路径的，如果filename中被恶意包含了../或者/ 这些字符，就很容易造成目录穿越。

我感觉当前的保存图片的这种模式也还有另外两个问题：

相同名字的不同图片文件会互相覆盖，所以建议对图片进行重命名,推荐使用图片内容的hash值（md5或者sha1）做文件名。
极端情况下，相同名字的图片同时上传，在调用f.save的时候会同时写入同一个文件，可能会造成Race Condition问题。

greyli commented 1 year ago

感谢反馈，已在 https://github.com/greyli/new-bluelog/pull/17 处理