400-650-7353

精品課程

文件上傳漏洞產(chǎn)生的原因 造成文件上傳漏洞的原因有哪些

發(fā)布: web前端培訓(xùn) 發(fā)布時(shí)間:2023-05-30 18:17:05

推薦答案
品牌型號(hào):聯(lián)想小新Pro16/系統(tǒng)版本:windows10

文件上傳漏洞產(chǎn)生的原因有:服務(wù)器配置不當(dāng)、開(kāi)源編輯器上傳漏洞、本地文件上傳限制被繞過(guò)、過(guò)濾不嚴(yán)格被繞過(guò)、文件解析漏洞導(dǎo)致文件執(zhí)行、文件路徑截?cái)唷?/p>

1、服務(wù)器配置不當(dāng):在不需要上傳文件的情況下可導(dǎo)致任意文件上傳。

2、開(kāi)源編輯器上傳漏洞:在文件上傳的功能處,若服務(wù)端腳本語(yǔ)言未對(duì)上傳的文件進(jìn)行嚴(yán)格驗(yàn)證和過(guò)濾,導(dǎo)致惡意用戶上傳惡意的腳本文件時(shí),就有可能獲取執(zhí)行服務(wù)端命令的能力。

3、本地文件上傳限制被繞過(guò):只在客戶端瀏覽器上做了文件限制而沒(méi)有在遠(yuǎn)程的服務(wù)器上做限制,只需要修改上傳時(shí)發(fā)送的數(shù)據(jù)包就可以輕松繞過(guò)上傳限制 。

4、過(guò)濾不嚴(yán)格被繞過(guò):網(wǎng)站使用上傳黑名單過(guò)濾掉一些可執(zhí)行文件腳本的后綴,但是黑名單不全或者被繞過(guò),也可導(dǎo)致惡意文件上傳。如果使用白名單,僅允許名單內(nèi)所包含的文件格式上傳會(huì)更加安全。

5、文件解析漏洞導(dǎo)致文件執(zhí)行:解析漏洞是指web服務(wù)器因?qū)?http 請(qǐng)求處理不當(dāng)導(dǎo)致將非可執(zhí)行的腳本,文件等當(dāng)做可執(zhí)行的腳本,文件等執(zhí)行。該漏洞一般配合服務(wù)器的文件上傳功能使用,以獲取服務(wù)器的權(quán)限。

6、文件路徑截?cái)啵荷蟼鞯奈募惺褂靡恍┨厥獾姆?hào),文件被上傳到服務(wù)器時(shí)路徑被這些符號(hào)截?cái),從而控制文件上傳的路徑?/p>

其它答案
冰闊落 2020-06-22 18:56:36

造成文件上傳漏洞的原因主要是在于開(kāi)發(fā)者對(duì)代碼開(kāi)發(fā)沒(méi)有考慮文件格式后綴的合法性校驗(yàn)或者是否只在前端通過(guò) JS 腳本進(jìn)行后綴檢驗(yàn),在向日葵看來(lái),關(guān)鍵原因還是在于代碼的嚴(yán)謹(jǐn)性不夠健全才會(huì)導(dǎo)致此類漏洞出現(xiàn)。

中公旗下IT培訓(xùn)品牌

  • 中公教育品牌

     中公教育是一家中國(guó)領(lǐng)先的全品類職業(yè)教育機(jī)構(gòu),提供超過(guò)100個(gè)品類的綜合職業(yè)就業(yè)培訓(xùn)服務(wù)。公司在全國(guó)超過(guò)1000個(gè)直營(yíng)網(wǎng)點(diǎn)展開(kāi)經(jīng)營(yíng),深度覆蓋300多個(gè)地級(jí)市,并正在快速向數(shù)千個(gè)縣城和高校擴(kuò)張。

  • 完善就業(yè)體系

    通過(guò)階段性授課機(jī)制,和每階段的定期考核,先讓學(xué)員能夠?qū)W會(huì)所學(xué)內(nèi)容,才能找打合適工作。最后一個(gè)階段為就業(yè)課程,從技術(shù)和面試兩個(gè)方面加深就業(yè)能力,并且還有不定期的雙選會(huì)供大家選擇。

  • 全程面授+實(shí)戰(zhàn)技術(shù)

    線下課程全程是師資面對(duì)面教學(xué),不會(huì)存在上課只對(duì)著大屏幕上課的情況,有問(wèn)題都可以在課上得到解答。并且優(yōu)就業(yè)通過(guò)自主研發(fā)大綱和學(xué)習(xí)路線,并且定期更新課程所學(xué)技術(shù),讓大家所學(xué)技術(shù)不落伍。

中公優(yōu)就業(yè)專業(yè)職業(yè)規(guī)劃老師

為您詳細(xì)答疑解惑,更能領(lǐng)取免費(fèi)課程

相關(guān)問(wèn)題

更多課程

專業(yè)課程老師將第一時(shí)間為您解答

立即答疑
修改
優(yōu)就業(yè):ujiuye

關(guān)注中公優(yōu)就業(yè)官方微信

  • 關(guān)注微信回復(fù)關(guān)鍵詞“大禮包”,領(lǐng)80G學(xué)習(xí)資料