我在知识星球发起一个问题:
#安全题目#经常遇到一些系统架构会设置单独的文件服务器,甚至有些saas软件服务会要求客户提供hdfs用来存储用户上传的图片等附件。这种情况下,即使任意文件上传,恶意代码也解析不了。从代码角度看,未对文件类型和格式做合法性校验;但从漏洞危害来看,它并未危害到系统安全。
你认为这是漏洞吗,如果是,它应该是什么级别,高危/中危/低危?
得到了不少星友的热情回应,下面摘录一些星友的看法。
@百里长苏:低微
@z:不是漏洞
@Xm17:按照白帽子,严重,按照厂商,无危害
@ch4ce:低危,鬼知道什么时候特定环境大佬骚姿势操作一波就变成高危了。
@on3s:中危吧 任意文件上传 不一定要传webshell。
@青釉:认为不算是漏洞 觉得更像是风险评估里面描述的威胁 同时还要看可能存在威胁多少以及威胁的影响程度。
@QWZY:我觉得最主要还是看从哪个角色的角度去考虑这个问题。
@っ、Emotiona*:感觉不算尴尬。
@Think2idea:可以算中危,任意文件上传,恶意传大文件占用服务器资源。
@吴小呆:比如说上传大量垃圾文件,占满空间,影响业务功能,不一定拿shell。
@Nsns:厂商:拒绝。无影响,感谢提交。
@℡ﻩ并说什么都没有发*:这要是被上传的文件可以直接被访问到的话在先审后发的单位就高危了。
@超人:低危,上传超大文件占满存储空间,可造成拒绝服务,或者资源浪费。
@but:白帽子当然是希望每一个漏洞都是严重啊!厂商的话,实际上暂时无危害,就算xss弹窗了因为在其他域名下也很难拿到业务cookie影响到自己的业务系统,但是这个毕竟可以恶意上传,所以个人认为接收漏洞,按低危处理!
@Winck:高危 虽然不能解析 存放的文件服务器是域名访问的话可以用来做木马链接 进一步渗透。
@悟极:漏洞的评级离不开应用的场景。
每个人的思维都有其偏好,享受这个集体讨论的过程,我想这里面可能就有你想要的答案。这个也是我一直比较喜欢T00LS论坛的地方,总会在帖子的评论里,得到点有价值的东西。
我想打造一个小而专的,纯粹一点的圈子,做一些技术交流和知识沉淀。通过不定期发一些安全相关的问题作为引导,注重于集体讨论的过程。
这是一个免费的星球,诚邀你的加入!
点击本文末尾的“阅读原文”,即可进入星球查看。