本文共 772 字,大约阅读时间需要 2 分钟。
LiveBOS(Live Business Object System)由顶点软件自主研发,是一种以业务对象建模为核心的业务中间件及其开发工具。该系统通过业务模型直接完成软件开发,支持基于WEB的专业应用与行业大型应用的开发。系统主要包含三个独立产品:LiveBOS Server(运行支持支撑平台)、LiveBOS Studio(开发集成环境)以及LiveBOS Manager(运维管理工具)。
LiveBOS 系统中 LiveBOS UploadFile.do 接口存在严重的文件上传安全漏洞。该漏洞导致未经身份验证的攻击者能够在服务器端执行任意代码,写入后门并获取服务器权限,从而控制整个 web 服务器。
该漏洞影响所有版本的 LiveBOS(<= 3.9.0),用户务必及时修复以防御潜在的安全威胁。
为了验证漏洞的存在,建议在以下环境中进行测试:
body="Power by LiveBOS"
以下是触发漏洞的 Proof of Concept(PoC)代码:
POST /feed/UploadFile.do HTTP/1.1Host: example.comContent-Type: multipart/form-dataContent-Disposition: form-data; name="file"; filename="malicious.php"
建议立即更新 LiveBOS 到最新版本,并部署 Web Application Firewall(WAF)或类似安全工具,以防止此类攻击。同时,建议采用身份验证和授权机制,确保文件上传功能的安全性。
转载地址:http://suufk.baihongyu.com/