安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
什么是文件上传漏洞?
2022-07-09 20:39:03 【

在网络安全行业中,常见的漏洞有很多,其中包括SQL注入漏洞、文件上传漏洞、目录遍历漏洞、文件包含漏洞、命令执行漏洞、跨站脚本漏洞等,那么什么是文件上传漏洞?本文为大家重点介绍一下。

  什么是文件上传漏洞?

  文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是Web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意代码并执行从而控制服务器。

  可以看出来这种攻击的危害很大,攻击者一旦拿到服务器权限,就必然天下大乱。

  文件上传漏洞的预防方法

  ①客户端校验文件名:在客户端使用JS脚本判断上传的文件名是否在白名单之内,如果不符合直接拒绝上传。但是这种校验很容易让攻击者绕过,比如说攻击者可以禁用JS,也可以先上传一个分发的文件名,让后将请求截住,手动将文件名改成非法的文件名。所以光前端进行校验是远远不够的,还需要后台一同进行校验。

  ②服务端文件名校验:上面提到攻击者可以绕过前端校验,所以还需要后台一起校验文件名是否在白名单内。但是光校验文件名的攻击者还是能有办法绕过。比如说0x00截断,因此还需要其他手段进行进一步校验。

  ③文件头校验:查看上传过来的文件的文件头是否和扩展名匹配。这种方式一定程度上能降低文件上传成功的概率。但是个人觉得最稳妥的预防方法还是以下几种。

  ④将上传上来的文件和Web服务器隔离,专门存放到一台文件服务器上,通过文件ID来访问。如果非要将文件存放在Web服务器一起,可以将存放文件的文件夹的可执行权限去掉。

  ⑤将上传的文件进行随机重新命名。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇显示IP属地,会泄露个人信息吗? 下一篇服务器安全防护的七大注意事项

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800