预防文件上传漏洞
1.为了防范用户上传恶意的可执行文件和脚本,以及将文件上传服务器当做免费的文件存储服务器使用,需要对上传的文件类型进行白名单(非黑名单,这点非常重要)校验,并且限制上传文件的大小,上传的文件,需要进行重新命名,使攻击者无法猜测到上传文件的访问路径。
2.对于上传的文件来说,不能简单的通过后缀名称来判断文件的类型,因为恶意攻击可以将可
执行文件的后缀名称改成图片或者其他的后缀类型,诱导用户执行。因此,判断文件类型需
要使用更安全的方式。
3.很多类型的文件,起始的几个字节内容是固定的,因此,根据这几个字节的内容,就可以确
定文件类型,这几个字节也被称为魔数(magic number)。(将文件转换成二进制)
最后
以上就是激动草丛最近收集整理的关于预防文件上传漏洞的全部内容,更多相关预防文件上传漏洞内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复