@深巷
2年前 提问
1个回答

文件上传漏洞怎么防范

delay
2年前

文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。文件上传漏洞的防护方法如下:

  • 编码者需要对上传页面代码严格把关,特别是在保存文件的时候,考察可能出现异常字符,如.,空字符等。

  • 对文件扩展名检查要采取”允许jpg.gif..” 这样的检查,而不要采取“不允许,asp..”这样的检查,例如IIS允许执行cer类型的脚本。

  • 不可以使用本地的JS来进了后缀名验证,必须再服务器端进行验证。

  • 最好对上传文件的目录设置为不可执行脚本,这可以通过web服务器配置加固实现。