1. 程式人生 > >web服務端安全---檔案上傳漏洞

web服務端安全---檔案上傳漏洞

1、簡述

  檔案上傳漏洞是指使用者上傳了一個可執行的指令碼檔案,並通過此指令碼檔案獲得了執行服務端命令的能力。這種攻擊方式是最直接和有效的,而且網際網路中我們經常會用到檔案上傳功能,它本身是沒有問題的,正常的業務需求,可是檔案上傳後伺服器如果不能安全有效的處理或解釋檔案,往往會造成嚴重的後果。

常見的安全問題:

  上傳檔案是web指令碼語言,伺服器的web容器解釋並執行了使用者上傳的指令碼,導致程式碼執行;

  上傳檔案是flash的策略檔案crossdomain.xml,黑客用以控制flash在該領域下的行為;

  上傳檔案是病毒、木馬檔案,黑客用以誘騙使用者或管理員下載執行;

  上傳檔案是釣魚圖片或者包含了指令碼的圖片,在某些版本的瀏覽器中會被作為指令碼執行,被用於釣魚和欺詐

大多數情況下檔案長傳漏洞一般都是值值指第一點(webshell問題),完成該攻擊的條件如下:

  上傳的檔案能夠被web容器解釋執行;

  使用者能夠從web訪問該檔案;

  上傳的檔案不被安全檢查、格式化、圖片壓縮等改變內容。

 

2、檔案上傳漏洞舉例

待補充。。。

3、安全措施

  檔案上傳的目錄設定為不可執行

  判斷檔案型別

  使用隨機數改寫檔名和路徑

  單獨設定檔案伺服器的域名

 

總之,檔案上傳往往與程式碼執行聯絡在一起,因此對於業務中要用到的上傳功能,都應該有安全工程師進行嚴格檢查。同時檔案上傳又可能存在諸如釣魚、木馬、等危害到終端使用者的業務風險問題,因此這一領域我們也要充分考慮。