文件上传漏洞

是什么?

在文件上传的功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的能力。

为什么?

本地文件上传限制被绕过
过滤不严或被绕过
文件路径截断
开源编辑器上传漏洞
中间件解析漏洞
服务器配置不当-http启用不安全的方法(PUT方法)
上传的文件目录,脚本文件可执行
对于Web server, 上传文件或者指定目录的行为没有做限制

会造成什么危害?

控制Web网站
高危触发点
相册、头像上传
视频、照片分享
附件上传
文件管理器

怎么修复?

文件扩展名服务端白名单校验
判断文件类型
文件内容服务端校验
上传文件重命名
隐藏上传文件路径
文件上传目录设置为不可执行

赞(2) 打赏
特别声明:除特殊标注,本站文章均为原创,遵循CC BY-NC 3.0,转载请注明出处。三伏磨 » 文件上传漏洞

评论 1

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏