【已记录】Windows宝塔的防跨站功能存在严重安全漏洞
最新版本8.5.2的宝塔的防跨站功能存在严重安全漏洞,当启用【防跨站攻击】功能后,宝塔自动生成的.user.ini的用户权限不当,导致黑客可通过上传的shell脚本将该文件进行重命名,删除,修改等一切操作,从而轻松达到提权的效果,这样该功能的安全性就完全形同虚设,另外也存在潜在的用户自己不小心通过ftp删除该文件的可能从而导致安全隐患,综上,建议将.user.ini的文件在创建后自动设置为只保留administrators和system的相应权限,删除其它所有用户如IIS_IUSERS等的权限,并且同时将该文件设置为只读,以确保安全 感谢您的反馈,已记录这个问题
页:
[1]