一、什么是文件上传漏洞 文件上传(File Upload)是大部分Web应用都具备的功能,例如用户上传附件、改头像、分享图片等。
文件上传漏洞是在开发者没有做充足验证(包括前端,后端,缺失或可绕过对拟上传文件的名字、类型、内容或大小进行验证)情况下,允许用户实际上可以上传恶意文件,这里上传的文件可以是木马、病毒、恶意脚本或者Webshell等,造成远程命令执行、敏感信息泄露等危害。
二、文件上传漏洞有什么影响 1、若后台允许执行某类型文件,可上传该类型的Web shell,尝试远程代码执行,拿下服务器权限。 2、若后台对文件名验证有缺陷,可上传与重要文件名相同的文件,尝试覆盖原文件。 3、若后台对文件大小验证有缺陷,可导致DoS攻击,造成大量磁盘空间消耗。
三、文件上传漏洞防御 1、对文件内容进行检测 2、对中间件作安全的配置 3、文件扩展名使用白名单 。。。 |