而是实际下载,应用到自己的服务器的默认是可写的。


是下载的版本默认配置,官网demo没有用默认配置。

如果审核不信可以去下载测试:https://pan.baidu.com/s/1eQd4I9W#dir/path=%2Fkodexplorer



之前的官网链接是为了让审核大哥看一下,这个东西是可以实现的。

官网的public目录是专门设置成不可写的,不是程序默认配置。

官网demo出于对官网服务器的安全考虑,不仅仅禁止了public写入,还禁止了重命名。

但这一切都不是kod的默认配置,default组的默认权限是可以上传文件到public目录的。



最后说一句,

我虽然技术有限,不能和大神比,但也绝对不会恶心地去做一些虚假的事情。
 

default用户组可以在公共目录上传文件,文件名拦截特殊符号,通过改包的方式可以插入恶意代码。



附上一个自己搭建的测试截图和用户组设定、上传可行性证明:



添加default用户test:
 

无标题.png





证明default有权限上传至公共目录:
 

2.png





当打开该目录的时候:
 

3.png




 

修复方案:

虽然看起来是一个self-xss,但实际上是可以被利用的。



如果我测试不通过是不会发的,每一个问题都是在我自己的机子上跑过的。



虽然技术很差,但决不会做虚假的事情。