话题: Web安全 渗透测试 文件上传

文件上传如何合理地验证文件类型?

写回答
  • 邀请回答
  • 举报
  • bool 我是一个一点也不高级的高级工程师
    2018.08.23

    对于文件上传后的解析工作,要放在相对安全的沙箱中进行,防止hacker可以利用对应版本的漏洞来进行攻击    

  • boos 加班到天明,学习到昏厥
    2018.08.23

    对于开发者在编写脚本时,利用脚本语言特有的函数进行检测,当用户上传文件时,会判断文件后缀、文件头、大小来识别文件类型。最好这种检测方法是放在后台检测,使用户不易篡改。并将上传的的地址进行重命名、加密等等等操作。    

  • 巧巧的来 该用户bug缠身,什么也没有留下
    2018.08.23

    对于文件上传后的解析工作,要放在相对安全的沙箱中进行,防止hacker可以利用对应版本的漏洞来进行攻击    

  • crazy girl 从事软件开发,喜欢交朋友
    2018.08.23
    文件上传漏洞能利用的条件是(1)上传可执行的代码(2)攻击者能访问(3)浏览文件会被浏览器解析执行

    所以只要对上传的文件进行重命名,利用特征码检测工具,含有木马的特征码禁止上传,并对上传的目录只赋予可读权限
  • 骷髅 人是一切安全问题的根源
    2018.08.23

    对于开发者在编写脚本时,利用脚本语言特有的函数进行检测,当用户上传文件时,会判断文件后缀、文件头、大小来识别文件类型。最好这种检测方法是放在后台检测,使用户不易篡改。并将上传的的地址进行重命名、加密等等等操作。    

  • 测试你的bug 工程师一枚,喜欢接触新技术。
    2018.08.23

    对于有文件上传功能的网站,怎么有效验证文件的类型?