为了账号安全,请及时绑定邮箱和手机立即绑定

上传安全威胁

上传安全威胁

哔哔one 2019-07-15 19:37:56
上传安全威胁我允许用户上传文件到我的服务器。我面临哪些可能的安全威胁,如何消除这些威胁?假设我允许用户从他们的系统或网络上传图片到我的服务器。现在,为了检查这些图像的大小,我必须将它们存储在/tmp文件夹。这不冒险吗?我怎样才能将风险降到最低?另外,假设我用的是wget从用户以我的表单上传的链接下载图片。首先,我必须将这些文件保存在我的服务器中,以检查它们是否实际上是图像。另外,如果一个恶作剧者给我一个URL,而我最终下载了一个满是恶意软件的网站呢?
查看完整描述

3 回答

?
阿晨1998

TA贡献2037条经验 获得超6个赞

以下是其中一些:

  • 当一个文件上传到服务器时,PHP将变量$_files[‘upupadedfile’][‘type’]设置为客户机正在使用的Web浏览器提供的MIME类型。但是,文件上载表单验证不能仅依赖于此值。恶意用户可以使用脚本或其他允许发送HTTPPOST请求的自动应用程序轻松上传文件,这允许他发送假MIME类型。

  • 几乎不可能编译包含攻击者可以使用的所有可能扩展的列表。例如,如果代码在托管环境中运行,通常这样的环境允许大量脚本语言,如Perl、Python、Ruby等,并且列表可以是无穷无尽的。

    恶意用户可以通过上传名为“.htaccess”的文件轻松绕过这种检查,该文件包含如下代码行:AddType application/x-httpd-php .jpg


查看完整回答
反对 回复 2019-07-15
  • 3 回答
  • 0 关注
  • 665 浏览
慕课专栏
更多

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信