文件上传漏洞

上一篇 / 下一篇 2015-12-19 21:31:42 / 个人分类：Web安全

1.什么是文件上传漏洞？

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。

2.文件上传后导致的安全问题一般有：

a.上传文件是web脚本语言，服务器的web容器解释并执行了用户上传的脚本，导致代码执行；

b.上传文件是flash的策略文件crossdomain.xml，黑客用以控制flash在该域下的行为（其他通过类似方式控制策略文件的情况相似）

c.上传文件是病毒、木马文件，黑客用以诱骗用户后管理员下载执行；

d.上传文件是钓鱼图片或包含了脚本的图片，在某些版本的浏览器中会被作为脚本执行，被用于钓鱼和欺诈

3.如何避免文件上传漏洞？

a.文件上传的目录设置为不可执行

b.判断文件类型

c.使用随机数改写文件名和文件路径

d.单独设置文件服务器的域名

TAG: