概述
预防文件上传漏洞
1.为了防范用户上传恶意的可执行文件和脚本,以及将文件上传服务器当做免费的文件存储服务器使用,需要对上传的文件类型进行白名单(非黑名单,这点非常重要)校验,并且限制上传文件的大小,上传的文件,需要进行重新命名,使攻击者无法猜测到上传文件的访问路径。
2.对于上传的文件来说,不能简单的通过后缀名称来判断文件的类型,因为恶意攻击可以将可
执行文件的后缀名称改成图片或者其他的后缀类型,诱导用户执行。因此,判断文件类型需
要使用更安全的方式。
3.很多类型的文件,起始的几个字节内容是固定的,因此,根据这几个字节的内容,就可以确
定文件类型,这几个字节也被称为魔数(magic number)。(将文件转换成二进制)
最后
以上就是激动草丛为你收集整理的预防文件上传漏洞的全部内容,希望文章能够帮你解决预防文件上传漏洞所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复