请问如何对附件下载地址做鉴权处理，或对下载参数做处理？

白天也懂夜的黑 · 发表于 2024-5-21 10:02:43

各位老师好，今日接到我们本地的公安局网安大队送达的网站渗透测试报告，报告提及我网站存在“任意文件下载”高危漏洞，如下图所示：

截图202405210956283062.jpg

我很奇怪，正常情况下，所有的网站图片都是可以下载的啊（包括政府网站），为啥我的网站图片附件能正常下载就成为“高危漏洞”了？

截图202405210959452384.jpg

网安那边给出的修复建议是“对附件下载地址做鉴权处理，对下载参数做处理”，

在此请教下：
1、请问如何对附件下载地址做鉴权处理，或对下载参数做处理？

2、这个算是高危漏洞吗？

我知道答案回答被采纳将会获得1 贡献已有12人回答

科站网 · 发表于 2024-5-21 10:14:15

这个本来就不做鉴权的，设计就是这样的

湖中沉 · 发表于 2024-5-21 10:18:48

门户附件不就是给公开下载的嘛……

白天也懂夜的黑 · 发表于 2024-5-21 10:21:09

湖中沉发表于 2024-5-21 10:18
门户附件不就是给公开下载的嘛……

我也是这样理解的，我跟他们说，就是政府部门网站的图片都可以随意下载的，这个怎么能做为高危漏洞呢？这个该咋搞啊。

白天也懂夜的黑 · 发表于 2024-5-21 10:29:30

科站网发表于 2024-5-21 10:14
这个本来就不做鉴权的，设计就是这样的

他们的意思应该是网站图片链接不能存在以下规律性的，这样会导致大众可以通过“任意文件下载漏洞获取所有用户上传至系统的附件资源文件”

访问 http://www.abc.com/portal.php?mod=attachment&id=1获取图片

访问 http://www.abc.com/portal.php?mod=attachment&id=2获取图片

访问 http://www.abc.com/portal.php?mod=attachment&id=*获取图片

不知道这个要求是否合理，还是这个能算是高危漏洞吗？如果不算是高危漏洞，那他们的渗透报告内容就太过随意性了！

白天也懂夜的黑 · 发表于 2024-5-21 10:58:08

湖中沉发表于 2024-5-21 10:18
门户附件不就是给公开下载的嘛……

我刚问了下网安那边的技术人员，他们的意思是我们的网站图片地址存在如下规律性
http://www.abc.com/portal.php?mod=attachment&id=1 （图片1）
http://www.abc.com/portal.php?mod=attachment&id=2 （图片2）
http://www.abc.com/portal.php?mod=attachment&id=* （图片*）

这样别人可以不用登录我的网站，就可以通过以下规律下载我网站上的相关图片等相关资源。

不知道这个问题能如何解决？

科站网 · 发表于 2024-5-21 11:00:16

白天也懂夜的黑发表于 2024-5-21 10:29
他们的意思应该是网站图片链接不能存在以下规律性的，这样会导致大众可以通过“任意文件下载漏洞获取所有 ...

是做等保吗？等保可以解释的，如果不听解释，可以做插件去做，可以分真鉴权、伪鉴权、伪静态，三种方案

白天也懂夜的黑 · 发表于 2024-5-21 11:23:40

科站网发表于 2024-5-21 11:00
是做等保吗？等保可以解释的，如果不听解释，可以做插件去做，可以分真鉴权、伪鉴权、伪静态，三种方案 ...

插件怎么做呢，收费多少？

一牛网 · 发表于 2024-5-21 11:28:02

当地网安还会干这种事的？可以啊

科站网 · 发表于 2024-5-21 11:33:11

白天也懂夜的黑发表于 2024-5-21 11:23
插件怎么做呢，收费多少？

我建议先解释，实在不行可以联系签名里的QQ

[求助] 请问如何对附件下载地址做鉴权处理，或对下载参数做处理？

产品服务

开发者服务

使用教程