无限制文件上传漏洞
计划亚博Zendesk,允许任意文件上传。这使得应用程序很容易受到几种类型的攻击。我发现域名/应用程序是脆弱的,因为它允许所有类型的文件上传,同时创建一个票据。正如您在附件中看到的,我已经上传了firefox installer.exe。
作为影响,攻击者可以通过多种方式利用此漏洞执行恶意活动。攻击者可以创建票据并上传恶意软件(病毒,蠕虫,勒索软件等)。之后,当票据由支持人员处理时,他/她将检查票据并打开文件。该文件可以安装在系统中并执行许多恶意活动。它可以危害系统,和/或整个网络依赖于恶意软件。
理想的解决方案是,只允许上传有限类型的文件,如jpg, png, .txt等。请让我知道你对此的反馈,如果这在你的范围内。
安全不再是一个选择,这应该尽快实施/修复。
-
官方的评论
更新:我们不再寻找志愿者,但仍在研究这个解决方案,并期望在2022年初有所成果。
嘿,大家——
顺便提一下,我们正在Zendesk积极开发恶意软件扫描工具,我们正在寻找一些客户的眼睛来看看我们的计划。亚博如果你愿意给我们30分钟的时间,你可以在我的日历上注册一个时间。我们将向您展示我们的一些计划,并征求您的意见。
虽然我们目前还没有对文件类型的限制进行研究,但我们会在未来的版本中考虑到这一点。
-
你好,
谢谢你的帮助。与我们的产品安全团队一起,我们目前正在研究我们可以为恶意软件附件扫描做些什么,无论附件来源如何。目前我们只提供扫描电子邮件附件的功能,所以你是对的,从产品安全的角度来看,我们应该做得更多。
谢谢你提出这个问题,
卡洛琳
-
联系人表单中的文件类型限制不起作用。这应该很容易修复。
-
嗨。这个安全问题有什么更新吗?在最近的一次审计中,这被标记为一个安全问题。
-
附言:我认为原文中有一个错别字。
原始我发现按领域/应用程序…
可能的意图我发现我的领域/应用……
-
你好,
这个解决方案是否适用于上传到聚集(社区)帖子?
谢谢,
菲尔。
-
马克斯McCal-嗨,有什么最新消息吗?与上面的许多帖子和单独的帖子一样,这已经通过安全审计标记为一个值得关注的问题。
-
嗨糙斑反而
这将允许上传收集(社区)帖子?
谢谢,
菲尔。
-
嗨,菲尔,
不幸的是,它并没有出现在第一个版本中。对于未来的版本,我们正在研究更多的产品集成
请登录留下评论。
10评论