請(qǐng)問如何對(duì)附件下載地址做鑒權(quán)處理，或?qū)ο螺d參數(shù)做處理？

白天也懂夜的黑

各位老師好，今日接到我們本地的公安局網(wǎng)安大隊(duì)送達(dá)的網(wǎng)站滲透測(cè)試報(bào)告，報(bào)告提及我網(wǎng)站存在“任意文件下載”高危漏洞，如下圖所示：





我很奇怪，正常情況下，所有的網(wǎng)站圖片都是可以下載的啊（包括政府網(wǎng)站），為啥我的網(wǎng)站圖片附件能正常下載就成為“高危漏洞”了？




網(wǎng)安那邊給出的修復(fù)建議是“對(duì)附件下載地址做鑒權(quán)處理，對(duì)下載參數(shù)做處理”，

在此請(qǐng)教下：
1、請(qǐng)問如何對(duì)附件下載地址做鑒權(quán)處理，或?qū)ο螺d參數(shù)做處理？


2、這個(gè)算是高危漏洞嗎？

我知道答案 回答被采納將會(huì)獲得1 貢獻(xiàn) 已有12人回答

科站網(wǎng)

這個(gè)本來就不做鑒權(quán)的，設(shè)計(jì)就是這樣的

湖中沉

門戶附件不就是給公開下載的嘛……

白天也懂夜的黑

湖中沉 發(fā)表于 2024-5-21 10:18
門戶附件不就是給公開下載的嘛……

我也是這樣理解的，我跟他們說，就是政府部門網(wǎng)站的圖片都可以隨意下載的，這個(gè)怎么能做為高危漏洞呢？ 這個(gè)該咋搞啊。

白天也懂夜的黑

科站網(wǎng) 發(fā)表于 2024-5-21 10:14
這個(gè)本來就不做鑒權(quán)的，設(shè)計(jì)就是這樣的

他們的意思應(yīng)該是網(wǎng)站圖片鏈接不能存在以下規(guī)律性的，這樣會(huì)導(dǎo)致大眾可以通過“任意文件下載漏洞獲取所有用戶上傳至系統(tǒng)的附件資源文件”

訪問 http://www.abc.com/portal.php?mod=attachment&id=1獲取圖片

訪問 http://www.abc.com/portal.php?mod=attachment&id=2獲取圖片

訪問 http://www.abc.com/portal.php?mod=attachment&id=*獲取圖片

不知道這個(gè)要求是否合理，還是這個(gè)能算是高危漏洞嗎？如果不算是高危漏洞，那他們的滲透報(bào)告內(nèi)容就太過隨意性了！

白天也懂夜的黑

湖中沉 發(fā)表于 2024-5-21 10:18
門戶附件不就是給公開下載的嘛……

我剛問了下網(wǎng)安那邊的技術(shù)人員，他們的意思是我們的網(wǎng)站圖片地址存在如下規(guī)律性
http://www.abc.com/portal.php?mod=attachment&id=1 （圖片1）
http://www.abc.com/portal.php?mod=attachment&id=2 （圖片2）
http://www.abc.com/portal.php?mod=attachment&id=* （圖片*）

這樣別人可以不用登錄我的網(wǎng)站，就可以通過以下規(guī)律下載我網(wǎng)站上的相關(guān)圖片等相關(guān)資源。

不知道這個(gè)問題能如何解決？

科站網(wǎng)

白天也懂夜的黑 發(fā)表于 2024-5-21 10:29
他們的意思應(yīng)該是網(wǎng)站圖片鏈接不能存在以下規(guī)律性的，這樣會(huì)導(dǎo)致大眾可以通過“任意文件下載漏洞獲取所有 ...

是做等保嗎？等?？梢越忉尩?，如果不聽解釋，可以做插件去做，可以分真鑒權(quán)、偽鑒權(quán)、偽靜態(tài)，三種方案

白天也懂夜的黑

科站網(wǎng) 發(fā)表于 2024-5-21 11:00
是做等保嗎？等?？梢越忉尩?，如果不聽解釋，可以做插件去做，可以分真鑒權(quán)、偽鑒權(quán)、偽靜態(tài)，三種方案 ...

插件怎么做呢，收費(fèi)多少？

一牛網(wǎng)

當(dāng)?shù)鼐W(wǎng)安還會(huì)干這種事的？可以啊

科站網(wǎng)

白天也懂夜的黑 發(fā)表于 2024-5-21 11:23
插件怎么做呢，收費(fèi)多少？

我建議先解釋，實(shí)在不行可以聯(lián)系簽名里的QQ