文件上传漏洞怎么防范?


发现错别字 1个月前 提问
回答
1
浏览
56
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
回答数量: 1
高级测评师 CISM-WSE

文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。

预防文件上传漏洞:

1,首先编码者需要对上传页面代码严格把关,特别是在保存文件的时候,考察可能出现异常字符,如.,空字符等。

2,其次,对文件扩展名检查要采取”允许jpg.gif..” 这样的检查,而不要采取“不允许,asp..”这样的检查,例如IIS允许执行cer类型的脚本。

3,不可以使用本地的JS来进了后缀名验证,必须再服务器端进行验证。

4,最好对上传文件的目录设置为不可执行脚本,这可以通过web服务器配置加固实现。

1个月前 / 评论