关键信息 漏洞类型 路径遍历漏洞 (Path Traversal) 影响的API路由 问题描述 在处理文件上传时,没有对上传文件名进行检查。 允许攻击者通过构造恶意文件名访问或操作服务器上的任意文件。 相关代码片段 1. 文件扩展名检查不充分: 2. ZIP文件处理中未对文件名进行检查: POC(概念验证) 使用Web前端单独模式发送请求。 构造恶意文件名以访问服务器上的任意目录。 结果 成功访问并读取了服务器上的 文件内容。 攻击者可以进一步利用此漏洞进行文件读取、写入等操作。 风险 攻击者可以通过路径遍历漏洞访问敏感文件,导致数据泄露或系统被篡改。