文件遍历漏洞
回贴
回帖数
1
阅读数
1179
发表时间
2020-10-20 11:30:58
之前发过一个帖子提到禅道未对文件进行用户身份验证 (见 https://www.zentao.net/thread/291225.html ),后来修改代码加了登录验证。
但发现登录后,类似 http://xxxxx/zentaopms/www/index.php?m=file&f=read&t=&fileID=1004 的文件可以直接读取,没有进行权限验证,使得文件可通过遍历获取,存在安全隐患。请问这一点有没有解决方案?
目前确实存在这个现象,因为禅道中用户有下载附件的权限就可以成功下载,没有再次设置验证。我们记录一下这个需求,谢谢反馈。
目前如果比较急需这个功能,也可以尝试一下修改代码实现。二次开发参考文档:
http://www.zentao.net/book/zentaopmshelp/156.htmlhttp://www.zentao.net/book/zentaopmshelp/225.html
2020-10-20 17:46:13 张玉洁 回帖
联系人
杨苗/高级客户经理
电话(微信)
13165050229
QQ号码
2692096539
联系邮箱
yangmiao@chandao.com
联系我们
杨苗
高级客户经理
电话(微信)
13165050229
QQ号码
2692096539
联系邮箱
yangmiao@chandao.com
名额有限
完善信息领取项目管理礼包
270+项目管理实践
100+项目管理视频
50+项目管理知识模版
去完善
杨苗/高级客户经理
联系客服领取礼包
