# 上传漏洞

这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。

导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。

# 上传问题

  • 用户上传文件
  • 再次访问上传的文件
  • 上传的文件被当成程序解析
  • NODE.JS中基本不存在上传的文件被当成程序解析的情况

# 上传问题防御

  • 限制上传后缀
  • 文件类型检查:通过mime判断文件类型,不是完全可靠的,是通过浏览器提供的,攻击者可以绕过浏览器发起请求,伪造mime
  • 文件内容检查:文件内容的二进制数据前几位是有一定特征的,根据这个特征可以判断文件类型,比根据mime更可靠
  • 程序输出:程序读取源文件,直接输出,不执行,比上面的可靠
  • 权限控制原则-可写可执行互斥:设置文件权限,上传的文件目录可写,但是不可执行

# 参考

更新时间: 5/13/2020, 11:23:00 PM