【網路安全】什麼是檔案上傳漏洞?預防方法有哪些？

　　在網路安全行業中，常見的漏洞有很多，其中包括SQL隱碼攻擊漏洞、檔案上傳漏洞、目錄遍歷漏洞、檔案包含漏洞、命令執行漏洞、跨站指令碼漏洞等，那麼什麼是檔案上傳漏洞?本文為大家重點介紹一下。

　　什麼是檔案上傳漏洞?

　　檔案上傳漏洞是指使用者上傳了一個可執行的指令碼檔案，並透過此指令碼檔案獲得了執行伺服器端命令的能力。常見場景是Web伺服器允許使用者上傳圖片或者普通文字檔案儲存，而使用者繞過上傳機制上傳惡意程式碼並執行從而控制伺服器。

　　可以看出來這種攻擊的危害很大，攻擊者一旦拿到伺服器許可權，就必然天下大亂。

　　檔案上傳漏洞的預防方法

　　①客戶端校驗檔名：在客戶端使用JS指令碼判斷上傳的檔名是否在白名單之內，如果不符合直接拒絕上傳。但是這種校驗很容易讓攻擊者繞過，比如說攻擊者可以禁用JS，也可以先上傳一個分發的檔名，讓後將請求截住，手動將檔名改成非法的檔名。所以光前端進行校驗是遠遠不夠的，還需要後臺一同進行校驗。

　　②服務端檔名校驗：上面提到攻擊者可以繞過前端校驗，所以還需要後臺一起校驗檔名是否在白名單內。但是光校驗檔名的攻擊者還是能有辦法繞過。比如說0x00截斷，因此還需要其他手段進行進一步校驗。

　　③檔案頭校驗：檢視上傳過來的檔案的檔案頭是否和副檔名匹配。這種方式一定程度上能降低檔案上傳成功的機率。但是個人覺得最穩妥的預防方法還是以下幾種。

　　④將上傳上來的檔案和Web伺服器隔離，專門存放到一臺檔案伺服器上，透過檔案ID來訪問。如果非要將檔案存放在Web伺服器一起，可以將存放檔案的資料夾的可執行許可權去掉。

　　⑤將上傳的檔案進行隨機重新命名。