上传安全威胁我允许用户上传文件到我的服务器。我面临哪些可能的安全威胁,如何消除这些威胁?假设我允许用户从他们的系统或网络上传图片到我的服务器。现在,为了检查这些图像的大小,我必须将它们存储在/tmp文件夹。这不冒险吗?我怎样才能将风险降到最低?另外,假设我用的是wget从用户以我的表单上传的链接下载图片。首先,我必须将这些文件保存在我的服务器中,以检查它们是否实际上是图像。另外,如果一个恶作剧者给我一个URL,而我最终下载了一个满是恶意软件的网站呢?
3 回答
阿晨1998
TA贡献2037条经验 获得超6个赞
当一个文件上传到服务器时,PHP将变量$_files[‘upupadedfile’][‘type’]设置为客户机正在使用的Web浏览器提供的MIME类型。但是,文件上载表单验证不能仅依赖于此值。恶意用户可以使用脚本或其他允许发送HTTPPOST请求的自动应用程序轻松上传文件,这允许他发送假MIME类型。 几乎不可能编译包含攻击者可以使用的所有可能扩展的列表。例如,如果代码在托管环境中运行,通常这样的环境允许大量脚本语言,如Perl、Python、Ruby等,并且列表可以是无穷无尽的。 恶意用户可以通过上传名为“.htaccess”的文件轻松绕过这种检查,该文件包含如下代码行: AddType application/x-httpd-php .jpg
添加回答
举报
0/150
提交
取消