@红薯 osc 编辑器文件上传校验好像不安全

宝塔镇河妖 发布于 2014/10/14 00:35
阅读 242
收藏 0

@红薯 今天看oschina的源码 看到图片上传的验证怎么是只验证后缀 而不采取文件头信息验证,会不会受到图片的xss攻击,红薯哥要不要改一下

imageTypes.put("FFD8FF", "jpg");
imageTypes.put("89504E47", "png");
imageTypes.put("47494638", "gif");
imageTypes.put("49492A00", "tif");
imageTypes.put("424D", "bmp");


还有不知道有没有取md5验证上传附件的完整性


加载中
0
winnie_tour
winnie_tour
期待你的攻击~~
0
黑狗
黑狗

对的。。。你攻击两天 逼他们改

0
返回顶部
顶部