xzpeng

上传文档泄露

1

http://your-domain/laravel-u-editor-server/server?action=xxx (xxx 可以为 config、listfile、listimage、uploadimage、uploadscrawl、uploadvideo、 uploadvideo、catchimage) 如请求http://your-domain/laravel-u-editor-server/server?action=config 可以查看配置文件。 而请求http://your-domain/laravel-u-editor-server/server?action=listfile&start=0&size=100 则会泄露管理员上传过的全部文档,包括提交过和未提交过的,只要使用了 ueditor 编辑器上传的都可列出来(其中 size 为文件最大数,设置一个较大的数即可)