社区维护者你好,
我在论坛发帖过程中无意发现一个潜在的安全风险,具体情况如下:
- 当前论坛允许上传
.pdf附件,但似乎只基于文件后缀名判断类型; - 实际上,如果将一个压缩包(如
.zip或.tar.gz)重命名为.pdf上传,论坛也会接受; - 这意味着攻击者可以将任意脚本或恶意文件伪装成文档上传,造成潜在的服务端漏洞或用户社交工程钓鱼风险。
1 个赞
你的问题已收到,会反馈给上游。另外当前文件上传基本都会触发人工审核。