上传漏洞的防范方法

上传漏洞一般是由于程序员未对上传的文件作过滤或者过滤机制不严格,导致恶意用户可以上传动态脚本页面,从而通过上传的脚本页面达到控制网站权限的目的。
这里我先来简单归纳一下上传漏洞的总类(个人能力有限应该还有遗留的):
一、未做任何限制
二、客户端JS验证绕过(本地javascript扩展名检测)
三、http包头检测绕过(content-type检测)
四、文件名可定义上传漏洞(自定义文件名,可使用0×00截断写入,参看dvbbs6.0上传漏洞同理)
五、文件夹可定义上传漏洞(自定义文件夹名,可使用0×00截断写入,参看dvbbs6.0上传漏洞)
六、文件头检测绕过(gif89a等文件头部检测)
七、第三方解析漏洞(IIS、apache、nginx的解析问题)

防御方法:禁止图片与附件等可上传目录的脚本可执行权限,其他目录禁止上传,这样就能有效的避免黑客通过上传来获取到webshell了.


用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
最后编辑networkedition 最后编辑于 2013-03-08 09:40:36