前言:在网络安全行业中,常见的漏洞有很多,其中包括SQL注入漏洞、文件上传漏洞、目录遍历漏洞、文件包含漏洞、命令执行漏洞、跨站脚本漏洞等,那么什么是文件上传漏洞?本文为大家重点介绍一下。 什么是文件上传漏洞? 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行
在网络安全行业中,常见的漏洞有很多,其中包括SQL注入漏洞、文件上传漏洞、目录遍历漏洞、文件包含漏洞、命令执行漏洞、跨站脚本漏洞等,那么什么是文件上传漏洞?本文为大家重点介绍一下。
什么是文件上传漏洞?
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是Web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意代码并执行从而控制服务器。
可以看出来这种攻击的危害很大,攻击者一旦拿到服务器权限,就必然天下大乱。
文件上传漏洞的预防方法
①客户端校验文件名:在客户端使用JS脚本判断上传的文件名是否在白名单之内,如果不符合直接拒绝上传。但是这种校验很容易让攻击者绕过,比如说攻击者可以禁用JS,也可以先上传一个分发的文件名,让后将请求截住,手动将文件名改成非法的文件名。所以光前端进行校验是远远不够的,还需要后台一同进行校验。
②服务端文件名校验:上面提到攻击者可以绕过前端校验,所以还需要后台一起校验文件名是否在白名单内。但是光校验文件名的攻击者还是能有办法绕过。比如说0x00截断,因此还需要其他手段进行进一步校验。
③文件头校验:查看上传过来的文件的文件头是否和扩展名匹配。这种方式一定程度上能降低文件上传成功的概率。但是个人觉得最稳妥的预防方法还是以下几种。
④将上传上来的文件和Web服务器隔离,专门存放到一台文件服务器上,通过文件ID来访问。如果非要将文件存放在Web服务器一起,可以将存放文件的文件夹的可执行权限去掉。
⑤将上传的文件进行随机重新命名。
老男孩教育10余年技术沉淀,课程内容多次更新迭代,杜绝纸上谈兵,全企业真实案例结合理论授课,想深入学习网络安全知识的同学们,可以关注下老男孩教育。
文章出自:http://qh.itpxw.cn/peixun/it/2022123373.html
免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉
老男孩教育 访问该机构站点 报名留言 加为好友 用户等级:高级会员
用户级别:0
机构名称:老男孩教育
联 系 人:任女士
联系电话:18710030740
联系手机:18710030740
在线客服:
在 线 QQ:
电子邮件:768386696@qq.com
网站域名:https://www.oldboyedu.com/
注册时间:2019-03-20 15:03
最后登录:2023-02-02 13:02
有不少想要”学Web前端开发”的小伙伴在选择学习方式的时候犹...
Java语言一直处于所有编程语言头部排名位置,因此更多的同学...
都知道Java好,但并不是所有人都能学好Java用好Java,那么想要学...
现如今有不少的同学都开始转头开始”学习UI设计”,想学习无...