自己做网站怎么做的免费的ai素材网站

自己做网站怎么做的,免费的ai素材网站,汕头有几个区,邢台吧 百度贴吧bby n0t1ce b0ard code-projects 在线公告板个人资料图片registration.php 无限制上传 (CVE-2024-12233) https://avd.aliyun.com/detail?idAVD-2024-12233 漏洞描述 发现code-projects在线通知板#xff08;版本至1.0#xff09;存在一个关键漏洞。这个问题影响了组件Pr…bby n0t1ce b0ardcode-projects 在线公告板个人资料图片registration.php 无限制上传 (CVE-2024-12233)https://avd.aliyun.com/detail?idAVD-2024-12233漏洞描述发现code-projects在线通知板版本至1.0存在一个关键漏洞。这个问题影响了组件Profile Picture Handler中的某些未知文件处理功能。操纵参数img会导致无限制上传。攻击可能远程发起。该漏洞已被公开披露可能被利用。漏洞文件为registration.php?php require(connection.php); extract($_POST); if(isset($save)) { //check user alereay exists or not $sqlmysqli_query($conn,select * from user where email$e); $rmysqli_num_rows($sql); if($rtrue) { $err font colorredThis user already exists/font; } else { //dob $dob$yy.-.$mm.-.$dd; //hobbies $hobimplode(,,$hob); //image $imageName$_FILES[img][name]; 取上传文件的原始文件名 //encrypt your password $passmd5($p); 使用 MD5 算法对密码加密 $queryinsert into user values(,$n,$e,$pass,$mob,$gen,$hob,$imageName,$dob,now()); 构造插入语句。第一个空字符串通常对应数据库的自增 ID mysqli_query($conn,$query); 执行 SQL 插入操作将用户信息存入数据库。 //upload image mkdir(images/$e);***参数$e是用户注册时的电子邮件对上传的图片没有限制。 为该用户创建一个以邮箱命名的文件夹用于存放图片 move_uploaded_file($_FILES[img][tmp_name],images/$e/.$_FILES[img][name]); 将上传的临时文件移动到刚才创建的文件夹中。 $errfont colorblueRegistration successfull !!/font; } } ? h2bREGISTRATION FORM/b/h2 form methodpost enctypemultipart/form-data table classtable table-bordered Tr Td colspan2?php echo $err;?/Td /Tr tr tdYour Name/td Tdinput typetext classform-control namen required//td /tr tr tdYour Email /td Tdinput typeemail classform-control namee required//td /tr tr tdYour Password /td Tdinput typepassword classform-control namep required//td /tr tr tdYour Mobile No. /td Tdinput classform-control typenumber namemob required//td /tr tr tdSelect Your Gender/td Td Maleinput typeradio namegen valuem required/ Femaleinput typeradio namegen valuef/ /td /tr tr tdChoose Your Hobbies/td Td Readinginput valuereading typecheckbox namehob[]/ Singinginput valuesingin typecheckbox namehob[]/ Playinginput valueplaying typecheckbox namehob[]/ /td /tr tr tdUpload Your Image /td Tdinput classform-control typefile nameimg required//td /tr tr tdDate of Birth/td Td select nameyy required option valueYear/option ?php for($i1950;$i2016;$i) { echo option.$i./option; } ? /select select namemm required option valueMonth/option ?php for($i1;$i12;$i) { echo option.$i./option; } ? /select select namedd required option valueDate/option ?php for($i1;$i31;$i) { echo option.$i./option; } ? /select /td /tr tr Td colspan2 aligncenter input typesubmit classbtn btn-success valueSave namesave/ input typereset classbtn btn-success valueReset/ /td /tr /table /form /body /html攻击者在注册时可通过上传个人资料图片上传恶意文件。上传的个人资料图片没有任何限制并将存储在 /images/{用户电子邮件}/{上传文件名} 中。黑客可以上传诸如.php 文件之类的文件并访问 /images/{用户电子邮件}/恶意_php 文件.php1{此处为任何命令} 来执行任何命令。有一个注册一个登录的交互在这里看到文件上传漏洞点注册成功访问images/邮箱/cmd.php没有任何的wafCVE-2024-12233