上传安全威胁

上传安全威胁

我允许用户上传文件到我的服务器。我面临哪些可能的安全威胁,如何消除这些威胁?

假设我允许用户从他们的系统或网络上传图片到我的服务器。现在,为了检查这些图像的大小,我必须将它们存储在/tmp文件夹。这不冒险吗?我怎样才能将风险降到最低?

另外,假设我用的是wget从用户以我的表单上传的链接下载图片。首先,我必须将这些文件保存在我的服务器中,以检查它们是否实际上是图像。另外,如果一个恶作剧者给我一个URL,而我最终下载了一个满是恶意软件的网站呢?



哔哔one
浏览 677回答 3
3回答

阿晨1998

以下是其中一些:当一个文件上传到服务器时,PHP将变量$_files[‘upupadedfile’][‘type’]设置为客户机正在使用的Web浏览器提供的MIME类型。但是,文件上载表单验证不能仅依赖于此值。恶意用户可以使用脚本或其他允许发送HTTPPOST请求的自动应用程序轻松上传文件,这允许他发送假MIME类型。几乎不可能编译包含攻击者可以使用的所有可能扩展的列表。例如,如果代码在托管环境中运行,通常这样的环境允许大量脚本语言,如Perl、Python、Ruby等,并且列表可以是无穷无尽的。恶意用户可以通过上传名为“.htaccess”的文件轻松绕过这种检查,该文件包含如下代码行:AddType application/x-httpd-php .jpg
打开App,查看更多内容
随时随地看视频慕课网APP