hello 好久不見,我又爲大家更新干活了,今天的幹活爲,文件上傳漏洞。
首先,文件上傳的漏洞的原理爲:指的是用戶上傳一個可執行的腳本文件。並通過該文件獲得了執行服務端命令的能力。
我認爲,文件上傳漏洞必須存在的4個條件:
1 存在上傳點
2 可以上傳動態文件
3 上傳目錄有執行權限
4 可訪問上傳的動態文件
文件上傳漏洞的危害:
可以被攻擊者上傳惡意代碼,獲得webshell,導致服務器被黑。
如何避免呢
1 對上傳的文件進行有效的文件類型判斷,採用白名單的方式,開放只允許上傳的文件類型
2 禁止上傳目錄有執行權限,上傳的文件不要保存在網站根目錄下。
3 使用隨機數改寫文件名和文件路徑,使用戶不能輕易訪問自己上傳的文件。