0x01前言

typecho上传的附件默认可以通过 /index.php/attachment/附件id/ 在前台被访问到,当然也包括隐藏文章里面的附件文件,那就可以通过这个方法去查看隐藏文章下的图片附件等,不需要任何权限。

91024-7y4ttr2r0uo.png

举个例子我这里有个隐藏文章里面的图片id是898,通过访问 /index.php/attachment/898/ 就可以看到附件图片名称+附件图片,也就是说可以通过遍历id来获取我们隐藏文章里面的图片等内容。

04225-w2fcaisn7u.png

0x02 插件

所以写了这个插件来禁止除了管理员的人在前台来访问到附件

Last modification:May 19, 2023
© Allow specification reprint
  • 本文作者:Juneha
  • 本文链接:https://blog.mo60.cn/index.php/archives/AttachmentAccess.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
  • 法律说明:
  • 文章声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全,本文内容未隐讳任何个人、群体、公司。非文学作品,请勿过度理解,根据《计算机软件保护条例》第十七条,本站所有软件请仅用于学习研究用途。
如果觉得我的文章对你有用,请随意赞赏,可备注留下ID方便感谢