文件上传漏洞的综合防护

文件上传漏洞的综合防护-Hack之路
从上篇文章说明,不可以之通过一种安全手段来阻止攻击者进行非法上传,应该同时综合检测应用文件类型,检查文件后缀,白名单,使用随机文件名,并上传云端比如(腾讯云阿里云,七牛云储存空间),最好再检测图片内是否隐藏危险函数
文件上传漏洞的综合防护
除了在代码逻辑中防止上传漏洞外,同时也可以在项目部署时将上传目录放到项目工程目录之外,当作静态资源文件处理,并且对文件的权限进行设定,禁止文件执行权限
当用户上传文件到服务器保存时,一定要使用随机文件名进行储存,并保证储存的扩展名合法性。保证文件名的唯一性,也保证了存储的安全性,可以防止上传文件非法扩展进行解析

网站地址:https://www.hackzl.cn;发布者:hack之路,转转请注明出处:https://www.hackzl.cn/index.php/2020/09/18/%e6%96%87%e4%bb%b6%e4%b8%8a%e4%bc%a0%e6%bc%8f%e6%b4%9e%e7%9a%84%e7%bb%bc%e5%90%88%e9%98%b2%e6%8a%a4/

发表评论

邮箱地址不会被公开。 必填项已用*标注