README.md文件中的nginx配置存在安全漏洞,导致恶意攻击者可以任意读取项目中的文件。
对于github上的demo地址,一种可行的攻击方式为:
http://42.194.214.22:8000/static../
可以看到读取到整个项目的文件。如果用户对该项目进行过二开,并在init.sql,conf/中写入了一些敏感信息,可能造成较大危害
init.sql
conf/
攻击者可以读取项目目录下任意文件