近期丁老师在对OJS期刊系统进行等保工作时,发现OJS一个安全漏洞,即任意文件上传漏洞,具体内容如下。
漏洞描述
任意文件上传漏洞(Unrestricted File Upload),是一种常见的Web安全漏洞,由于Web应用程序在实现文件上传功能时对上传的文件缺少必要的检查,使得攻击者可上传任意文件。利用该漏洞,攻击者可以直接上传Webshell(WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门)、病毒、恶意脚本等各种危险文件,可能导致服务器权限被直接获取,从而危及整个系统的安全运行。
测试过程
点击投稿系统,选择文件上传,可以上传任意文件,但是脚本文件会被替换成txt.但是可以上传html文件,造成xss,Url如下:
index.php/is/api/v1/submissions/202/files关键特征
解决方案
1、对用户上传的文件类型采用白名单进行限制,且重命名文件名。
2、限定文件上传目录,且该目录不允许解析动态脚本文件。
3、更新Web服务器版本并进行正确配置,防止解析漏洞。
针对上述解决方案,如需专业技术修复,可以联系丁老师咨询。
有使用OJS(Open Journal System)期刊系统的客户反应,在浏览和审阅文章时,点击pdf下载不了,出现了404错误,是怎么回事呢?这个问题不仅仅限于文章的PDF文件,包含WORD的DOC文件、TXT文件等也出现了这种情况...
某个出版社的编辑反馈,使用OJS系统投稿的文章,在页面上的作者信息下边,还显示一个"Author"标识,这是什么意思,能不能去掉呢?如图学术软件专家丁老师给你解答,其实,这里的Author标签,显示的是文章作者的用户...
Open Journal Systems (OJS)是一个由Public Knowledge Project (PKP) 开发的开源软件(OJS专题介绍),旨在帮助学术期刊实现其在线出版、管理和传播的过程。OJS支持从文章提交到最终发布...
很多做期刊的出版社客户都在问,OJS系统投稿时可以添加自定义字段吗?如何增加自定义字段呢?比如在投稿时,想增加一个文章类型的选项,该怎么做呢?OJS系统投稿时表单增加自定义字段效果图(增加了文章类型选择字段)丁老师来告诉你哈,首先OJS...
