twitter被曝存在任意文件上传漏洞
Cyber安全分析机构成员Ebrahim Hegazy日前发现了一系列在Twitter上的漏洞,这个漏洞允许攻击者上传任何类型的文件到目标主机,包括php源文件,.htaccess等。
Cyber安全分析机构成员Ebrahim Hegazy日前发现了一系列在Twitter上的漏洞,这个漏洞允许攻击者上传任何类型的文件到目标主机,包括php源文件,.htaccess等。
问题出在twitter的CDN域名主机twimg.com上。理论上来说这种上传会导致任意代码执行,但是由于twitter的服务器并不采用php作为解释语言,所以危害不能达到传webshell的结果,但仍然可以用作钓鱼及挂马。
安全专家Ebrahim Hegazy在视频中演示了通过修改HTTP头中文件名的方法来利用该漏洞上传任意文件的行为。Twitter已在9.15日修复此漏洞,并对Ebrahim表示感谢。
问题出在twitter的CDN域名主机twimg.com上。理论上来说这种上传会导致任意代码执行,但是由于twitter的服务器并不采用php作为解释语言,所以危害不能达到传webshell的结果,但仍然可以用作钓鱼及挂马。
安全专家Ebrahim Hegazy在视频中演示了通过修改HTTP头中文件名的方法来利用该漏洞上传任意文件的行为。Twitter已在9.15日修复此漏洞,并对Ebrahim表示感谢。
关于作者
评论0次