文件上传接口，携带xss 脚本，如何处理？

Blade 未结

关注举报

 1  438

334246546 剑圣 2022-09-17 23:19

一、该问题的重现步骤是什么？

1. 等保需要修复以下问题：
我是发现了系统能够任意文件上传，但是呢，我想进一步进行漏洞利用。所以我上传了带有恶意xss代码的svg文件，然后系统能够解析svg里面的xss代码导致xss漏洞利用。

等保扫码出文件上传接口这个问题：

<?xml version="1.0" encoding="UTF-8" standalone="no"?><!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd"><svg version="1.1" id="Layer_1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0px" y="0px" width="100px" height="100px" viewBox="0 0 751 751" enable-background="new 0 0 751 751" xml:space="preserve"> <image id="image0" width="751" height="751" x="0" y="0" href="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAu8AAALvCAIAAABa4bwGAAAAIGNIUk0AAHomAACAhAAA+gAAAIDo" /><script>alert(1)</script></svg>

二、你期待的结果是什么？实际看到的又是什么？

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。