在此表示感谢各位白帽子,非常喜欢友情检测安全,我也非常欢迎检测,只要不 D 我,怎么都行。
必定安全是相对的,完美是从残缺中蜕变出来的,技术的精进,闷着头成长也是有限的,一个人的思维总会有盲点,只有众人的思维,才能弥补个人的不足,wellcms 只有经过历练,才能变得更加完美。
另外对于注册用户 使用 burp 上传图片格式一句话的同学,请尽量下载程序到本地测试。不管你用什么方式传上来,最终只能是图片格式或是 ._* 格式的文件,无法解析运行的,burp再牛,也干不了已经写死的代码。
wellcms 所有文件全部解析到路由后执行文件,且除了根目录的路由文件外的目录都限制了运行文件。
具体安全设置请查看 http://www.wellcms.cn/read-49.html
对于用户的关心 流传的后台缩略图上传脚本问题,这个窟窿是 bate3 版本,正式版发布于2020年1月6号,都没有该问题。对于这个bug,是我大意造成的错误,我早已面壁过了。不过在正式版发布之前,我重写了很多地方,包括上传和入库过滤。
还要特别感谢某网友前几天检测并提醒的一个bug,wellcms 后台 CSRF 跨站请求伪造创建用户并修改用户组为管理员,对于这个bug确实是我忽略没有想到的,非常感谢该网友提醒,目前新版已经修复。
对于 CSRF 跨站请求伪造攻击不懂得同学,请自行百度,在此不进行科普。
