首页 » 安全知识库 » WEB安全原理 » 文件上传 » 正文

文件上传(File Upload)攻击

名称:文件上传攻击(File Upload)

描述:Web 应用程序在处理用户上传的文件操作时,如果用户上传文件的路径、文件名、扩展名成为用户可控的数据,就会导致直接上传脚本木马到 web 服务器上,直接控制 web 服务器。

修复方案:
1、检查上传文件扩展名白名单,不属于白名单内,不允许上传。
2、上传文件路径及文件名不可取用户可控数据。
3、上传文件的目录不能提供脚本解析。
4、图片上传,要通过处理(转码、缩略图、水印等),无异常后才能保存到服务器。

腾讯社区wiki:

http://wiki.open.qq.com/wiki/

发表评论