Simon
2
风险管理(专业级)RM/PL
CICSA
Simon2
风险管理(专业级)RM/PL
CICSA
文件上传后服务器如果不能安全有效的处理或解释文件,往往会造成严重的后果,常见的安全问题如下:
上传的文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,导致代码执行;
上传的文件是flash的策略文件crossdomain.xml,黑客用以控制flash在该领域下的行为;
上传的文件是病毒、木马文件,黑客用以诱骗用户或管理员下载执行;
上传的文件是钓鱼图片或者包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈。
delay
2
高级测评师
CISM-WSE
delay2
高级测评师
CISM-WSE
文件上传漏洞存在以下安全问题:
代码执行:上传文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,导致代码执行,甚至导致网站甚至整个服务器被控制。
域控制:上传文件是flash的策略文件crossdomiain.xml,黑客用以控制flash在该域下的行为。
网站挂马:上传文件是病毒、木马,黑客用以诱骗用户或者管理员下载执行。
钓鱼:上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈。
推荐文章
