很多网站和腾云网都在使用开源的图片上传系统。上传系统是可视化的。使用的开发语言支持asp、aspx、php、jsp，几乎所有网站都可以使用其上传系统。兼容性和移动端也比较好，在用户使用和编辑上传方面，很多用户都喜欢。

当我们SINE 在前端进行全面的网站漏洞检测时，发现存在严重的上传漏洞。许多腾云网网站和事业单位网站都上传了非法内容，其中包括一些赌博内容。从我们的安全监控平台发现，2019年3月、4月、5月seo优化，利用漏洞攻击网站的情况越来越严重。部分网站也被阿里云屏蔽，并提示该网站内容被禁止访问。关于本网站的漏洞详情，一起来看看吧。

许多被攻击的网站使用编辑器和组件在后台上传图片和文档等文件。当前存在漏洞的版本为 4.1.5 及以下。漏洞发生的代码文件在.php代码中，该代码不对用户上传的文件的格式和大小进行安全检测，使得用户可以伪造恶意文件上传，尤其是html文件可以直接上传到网站目录php文件图片上传代码，以便搜索引擎直接抓取上传。记录下来。

让我们重现这个上传漏洞。一、使用系统，数据库为.6网站开发，PHP版本为5.4。我们将4.1.5的源码复制到我们刚刚搭建的服务器上php文件图片上传代码，我们将访问127.0.0.1//php/ demo.php 截图如下：

打开上传页面后，我们可以发现上传的文件格式默认支持htm和html，包括我们使用XSS跨站攻击脚本代码上传的html都可以执行。攻击者利用该网站漏洞批量上传，劫持网站快照，并包含一些非法内容URL。

如何判断网站是否正在使用编辑器？

1./asp/.asp?dir=文件

2.//.ashx?dir=文件

3./jsp/.jsp?dir=文件

4./php/.php?dir=文件

还有一个漏洞可以上传。可以将asp、php等脚本文件直接上传到网站目录。先上传一张图片，然后打开文件管理找到我们刚刚上传的图片的名字，点这里改名字，我们用火狐浏览器查看元素，找到FORM表单，把JPG的后缀改成PHP，然后单击修改，这会导致图像文件更改为脚本执行。

网站漏洞修复方案及方法

该漏洞影响面广，攻击多，通常是腾云网企业网站和政府机构。攻击者利用上传漏洞上传一些赌博、赌博、棋牌等html文件来劫持百度快照。删除上传功能，或者在代码中限制上传格式，去掉html和htm的上传权限，只允许上传图片格式和word文本。如果对网站代码不是太熟悉，可以找专业的安全腾云网络来处理。在中国，腾云网络和绿盟科技、金星、启明星辰、深信服等网站安全腾云网络更加专业。