近期丁老师在对OJS期刊系统进行等保工作时,发现OJS一个安全漏洞,即任意文件上传漏洞,具体内容如下。
漏洞描述
任意文件上传漏洞(Unrestricted File Upload),是一种常见的Web安全漏洞,由于Web应用程序在实现文件上传功能时对上传的文件缺少必要的检查,使得攻击者可上传任意文件。利用该漏洞,攻击者可以直接上传Webshell(WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门)、病毒、恶意脚本等各种危险文件,可能导致服务器权限被直接获取,从而危及整个系统的安全运行。
测试过程
点击投稿系统,选择文件上传,可以上传任意文件,但是脚本文件会被替换成txt.但是可以上传html文件,造成xss,Url如下:
index.php/is/api/v1/submissions/202/files关键特征
解决方案
1、对用户上传的文件类型采用白名单进行限制,且重命名文件名。
2、限定文件上传目录,且该目录不允许解析动态脚本文件。
3、更新Web服务器版本并进行正确配置,防止解析漏洞。
针对上述解决方案,如需专业技术修复,可以联系丁老师咨询。
使用过Open Journal System期刊管理系统(OJS)的朋友都知道,OJS在文章的投稿、评审、校验流程中,可以自动发送邮件给对应的作者、编辑、评审人等。但有客户提出咨询了,只想让作者快速的提交稿件,不想发邮件,想跳过这一步骤...
经常有小伙伴提问,OJS支持在线支付吗?如果我们想实现作者投稿时付费,是否可以实现这个功能呢?丁老师为你解答。关于OJS的在线支付功能,答案是肯定的。OJS期刊投稿系统支持在线支付,该软件提供了管理订阅和作者费在线支付的功能,如图:目前...
最近有同学反应,在使用OJS期刊管理系统上传稿件文件时,文件上传失败,文件名显示为空(如下图),是怎么回事呢?经过丁老师测试,文件上传正常,说明程序和系统配置没有问题。但维度有一个文件上传不了,仔细分析发现,该文件文件名过长,导致文件上...
近期收到客户反馈,在OJS3.5版本中,上传的投稿论文PDF打不开,无法正常在线浏览,出现空白,并且在控制台还报错,是怎么回事呢?因为OJS系统使用的PDF浏览插件是Pdf viewer,丁老师着重对这个插件部分进行了故障分析。经过排查...
