文件上传漏洞

网站存在任意文件上传漏洞,文件上传功能没有进行格式限制,容易被黑客利用上传恶意脚本文件。

可带来如下危害:

  1. 攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁;
  2. 攻击者可上传可执行的WebShell(如php、jsp、asp类型的木马病毒),或者利用目录跳转上传gif、html、config文件,覆盖原有的系统文件,到达获取系统权限的目的。

修复建议:

  1. 对上传文件格式进行严格校验及安全扫描,防止上传恶意脚本文件;
  2. 设置权限限制,禁止上传目录的执行权限;
  3. 严格限制可上传的文件类型;
  4. 严格限制上传的文件路径。
  5. 文件扩展名服务端白名单校验。
  6. 文件内容服务端校验。
  7. 上传文件重命名。
  8. 隐藏上传文件路径。

漏洞详细信息参考:文件上传漏洞(绕过姿势)

results matching ""

    No results matching ""