kkfileview

小程序很久之前出过一个功能——文件在线预览。功能是在小程序中直接打开word、excel、压缩包等等在微信中无法打开的文件。 然后前几天突然看到一封邮件。 然后上去看了一下，发现还真有人拿我的网站搞色色。上面这个链接现在肯定也失效了，大家就不要去试了，内容大概是这种东西(可能有些人会觉得眼熟)： 这个功能使用的是开源项目kkfileview(https://github.com/kekingcn/kkFileView)进行实现，我是用docker部署了4.1.0版本 。 4.1.0不是最新版本，想使用最新版本，需要加他们的星球，99块一位。当然也自行打包，源码完全提供。 项目部署一开始我就在nginx中禁用了上传，以为是程序漏洞，日志太多懒得翻，所以干脆fork了一下他们的代码，重新打包到我自己的docker镜像库，并拉取替换了本地部署。 重点来了 昨天上班特意观察了一下： 发现压根不是上传接口的漏而是用了SSRF + 存储型 XSS 组合漏洞。服务器替攻击者下载并缓存了远程 HTML，kkFileView然后把下载结果放到自己的静态目录，再用...