文件上传漏洞

  • 用户上传的文件被web容器解释执行
  • 上传的是跨域配置文件,导致同源策略失效
  • 上传的文件是木马病毒被管理员下载执行
  • 上传的图片含有木马与脚本,被某些浏览器执行

文件上传检查绕过

  • 通过\0字符截断

apache文件解析

  • apache对不认识的文件类型的处理

IIS文件解析

nginx对php cgi的执行问题

安全的文件上传

  • 上传目录设置为不可执行
  • 白名单文件类型检查
    • 后缀名+文件头
  • 文件存放加上随机数
  • 单独的文件服务器
MY all right reserved,powered by Gitbook 该页面最后修改于: 2020-01-29 09:58:55 本页字数: 301

results matching " "

No results matching " "

results matching " "

No results matching " "