什么是文件上传漏洞,如何防范文件上传漏洞【面试题详解】

今天爱分享给大家带来什么是文件上传漏洞,如何防范文件上传漏洞【面试题详解】,希望能够帮助到大家。

文件上传漏洞,指的是用户上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。
许多第三方框架、服务,都曾经被爆出文件上传漏洞,比如很早之前的Struts2,以及富文本编辑器等等,可被攻击者上传恶意代码,有可能服务端就被人黑了。如何防范文件上传漏洞
文件上传的目录设置为不可执行。
1)判断文件类型。在判断文件类型的时候,可以结合使用MIME Type,后缀检查等方式。因为对于上传文件,不能简单地通过后缀名称来判断文件的类型,因为攻击者可以将可执行文件的后缀名称改为图片或其他后缀类型,诱导用户执行。
2)对上传的文件类型进行白名单校验,只允许上传可靠类型。
3)上传的文件需要进行重新命名,使攻击者无法猜想上传文件的访问路径,将极大地增加攻击成本,同时向shell.php.rar.ara这种文件,因为重命名而无法成功实施攻击。
4)限制上传文件的大小。
5)单独设置文件服务器的域名。

人已赞赏
软件

什么是CSRF攻击,如何防范CSRF攻击【面试题详解】

2020-11-6 11:05:28

软件

什么是DDos 攻击,如何防止DDos 攻击【面试题详解】

2020-11-6 11:07:54

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
'); })();