p20161017

YAPI远程命令执行漏洞(最新版已修复此问题)

YAPI是一个广泛使用的api接口管理系统,本文讲的这个远程命令执行漏洞其实已经在最新的几个yapi版本中修复了。漏洞利用过程概括起来就是YAPI开放了注册功能,然后恶意用户注册后新建项目并在接口的Mock功能里面添加了恶意脚本,最终执行了脚本里的命令。

如果要看YAPI的安装昨天有写一篇安装[……]