漏洞名称:漏洞位置:漏洞分析:漏洞修复: 漏洞名称:数据备份文件泄露漏洞 漏洞位置: 漏洞分析: 查看源码,发现在网站目录下(/public)存在两个文件夹Data和Datas用于存放数据备份文件。 因为这两个目录在public目录下,故可被外部直接访问到,生成的数据备份文件名为时间字符串拼接产生,有被爆破的可能,直接访问下载: 可直接将数据备份文件下载到本地,Datas目录下也同样可以。 网站本身后台已提供备份文件下载功能 那么就没必要将备份文件放在/public目录下,直接迁移到/public目录以外。 漏洞修复:将数据备份文件迁移到/public目录以外。2. 或者提高文件名复杂度。
