OJS存在任意文件上传漏洞及解决方案

所属专题:OJS期刊管理系统 来源: 丁老师原创 更新时间:2025-07-14 07:58 浏览: 3152 IP属地: 深圳
ojs期刊系统安装搭建

近期丁老师在对OJS期刊系统进行等保工作时,发现OJS一个安全漏洞,即任意文件上传漏洞,具体内容如下。

漏洞描述
任意文件上传漏洞(Unrestricted File Upload),是一种常见的Web安全漏洞,由于Web应用程序在实现文件上传功能时对上传的文件缺少必要的检查,使得攻击者可上传任意文件。利用该漏洞,攻击者可以直接上传Webshell(WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门)、病毒、恶意脚本等各种危险文件,可能导致服务器权限被直接获取,从而危及整个系统的安全运行。

测试过程
点击投稿系统,选择文件上传,可以上传任意文件,但是脚本文件会被替换成txt.但是可以上传html文件,造成xss,Url如下:

index.php/is/api/v1/submissions/202/files

关键特征

a.png

解决方案
1、对用户上传的文件类型采用白名单进行限制,且重命名文件名。
2、限定文件上传目录,且该目录不允许解析动态脚本文件。
3、更新Web服务器版本并进行正确配置,防止解析漏洞。

针对上述解决方案,如需专业技术修复,可以联系丁老师咨询。



ojs相关文章

OJS是什么?Open Journal Sy...

OJS是什么?OJS全称是Open Journal Systems,是一款用于学术期刊行业的期刊管理、论文投稿、稿件编审系统的软件。由加拿大西蒙弗雷泽大学团队研发,是全球使用最广泛的学术出版平台,是一个高度灵活的编辑作期刊管理和出版系统...

OJS有支持学术文章排版功能吗?

最近,有使用open journal system(OJS)期刊投稿系统的客户咨询,OJS可以对文章在线排版吗?有支持学术文章PDF的排版功能吗?今天丁老师针对这个问题进行解答。OJS可以对文章在线排版吗?OJS期刊管理系统,支持对文章...

OJS提示Uncaught Error: C...

有同学在我们的期刊管理运营群里提问,在对OJS(open journal systems)二次开发的过程中,报了个500错误,打开错误日志后显示Uncaught Error: Class "pkp\controllers\jo...

OJS系统搜索指定期刊文章的方法

OJS系统的search功能,默认是搜索所有期刊的内容,如果想搜索指定期刊的内容怎么办呢?经过丁老师研究,发现ojs系统是可以搜索指定期刊内容的。在默认点search后,页面的url为:https://www.ojs.com/index...