【網路安全】什麼是檔案上傳漏洞?預防方法有哪些?

老男孩IT教育機構發表於2022-07-08

  在網路安全行業中,常見的漏洞有很多,其中包括SQL隱碼攻擊漏洞、檔案上傳漏洞、目錄遍歷漏洞、檔案包含漏洞、命令執行漏洞、跨站指令碼漏洞等,那麼什麼是檔案上傳漏洞?本文為大家重點介紹一下。

  什麼是檔案上傳漏洞?

  檔案上傳漏洞是指使用者上傳了一個可執行的指令碼檔案,並透過此指令碼檔案獲得了執行伺服器端命令的能力。常見場景是Web伺服器允許使用者上傳圖片或者普通文字檔案儲存,而使用者繞過上傳機制上傳惡意程式碼並執行從而控制伺服器。

  可以看出來這種攻擊的危害很大,攻擊者一旦拿到伺服器許可權,就必然天下大亂。

  檔案上傳漏洞的預防方法

  ①客戶端校驗檔名:在客戶端使用JS指令碼判斷上傳的檔名是否在白名單之內,如果不符合直接拒絕上傳。但是這種校驗很容易讓攻擊者繞過,比如說攻擊者可以禁用JS,也可以先上傳一個分發的檔名,讓後將請求截住,手動將檔名改成非法的檔名。所以光前端進行校驗是遠遠不夠的,還需要後臺一同進行校驗。

  ②服務端檔名校驗:上面提到攻擊者可以繞過前端校驗,所以還需要後臺一起校驗檔名是否在白名單內。但是光校驗檔名的攻擊者還是能有辦法繞過。比如說0x00截斷,因此還需要其他手段進行進一步校驗。

  ③檔案頭校驗:檢視上傳過來的檔案的檔案頭是否和副檔名匹配。這種方式一定程度上能降低檔案上傳成功的機率。但是個人覺得最穩妥的預防方法還是以下幾種。

  ④將上傳上來的檔案和Web伺服器隔離,專門存放到一臺檔案伺服器上,透過檔案ID來訪問。如果非要將檔案存放在Web伺服器一起,可以將存放檔案的資料夾的可執行許可權去掉。

  ⑤將上傳的檔案進行隨機重新命名。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2904883/,如需轉載,請註明出處,否則將追究法律責任。

相關文章