XX/tomcat/webapps/ROOT/uploads/255/XX/XX/202105/20210513142826_abg.jpg 上传目录存在漏洞 阿里云监测 相关tomcat的docs manager这些目录早已删除在部署应用时
具体什么漏洞?如果是可以上传其它后缀的文件,可以到后台系统设置-上传设置里面设置允许上传文件的后缀名。
系统设置-上传设置
脚本伪装成jpg图片
文件后缀是.jpg,即使里面是脚本代码,也无法被执行,没有危害。只有在使用iis且iis有某些漏洞的情况下,才可能被利用。
如果一定要防止.jpg后缀图片文件里包含脚本代码,必须在图片上传时,用程序读取出来,再用程序重新写入图片,才能防止.jpg里包含脚本代码。
但这样做有一定代价,且似乎没有必要。