Descarga y carga de archivos inseguros: solución de reparación de vulnerabilidad de carga de archivos

Others 2020-04-10 22:42:53 views: null

Corrección de vulnerabilidad de carga de archivos

En respuesta a las características de la vulnerabilidad de carga de archivos y las tres condiciones que deben cumplirse, podemos bloquear cualquier condición para lograr el propósito de organizar ataques de carga de archivos:

1. Lo más efectivo es configurar directamente el directorio de carga de archivos como no ejecutable. Para Linux, revoque el permiso 'x' del directorio; de hecho, muchas aplicaciones de carga de sitios web grandes se colocarán en un almacenamiento independiente como archivos estáticos, No analiza ningún archivo dinámico. Primero, es conveniente usar el caché para acelerar la reducción del consumo de energía, y segundo, se elimina la posibilidad de ejecución de script;

2. Comprobación del tipo de archivo: se recomienda encarecidamente el método de la lista blanca (es difícil omitir si la versión de middleware es alta), combinada con Tipo MIME, comprobación de sufijo, etc. Además, para el procesamiento de imágenes, puede utilizar la función de compresión o la función de cambio de tamaño, mientras procesa imágenes Destruya el código HTML que contiene;

  1. Use números aleatorios para reescribir el nombre del archivo y la ruta del archivo para que los usuarios no puedan acceder fácilmente a los archivos que cargan;

4. Establezca el nombre de dominio del servidor de archivos por separado;

Experiencia personal: en el entorno real, el servidor de almacenamiento de archivos debe estar aislado de la ubicación clave tanto como sea posible, de modo que incluso si hay un problema, no causará consecuencias muy graves. La trazabilidad de este problema es el problema del análisis, por lo que los archivos se procesan estáticamente También es muy fundamental eliminar la posibilidad, que es una medida defensiva si el atacante carga.
Por otro lado, es necesario protegerse estrictamente contra la muerte al cargar y lograr el objetivo de destruir troyanos interceptando, destruyendo y modificando los archivos del atacante.

(Recientemente, me sorprendió conocer estos pocos vacíos. Quiero intentar insertar algo cuando vea el cuadro de texto. Accidentalmente descubrí que el título del blog CSDN es eliminar espacios automáticamente)

Gentle Little Xue
Publicado 94 artículos originales · elogiado 8 · visitas 5219
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/weixin_43079958/article/details/105377333
Recomendado
Clasificación
Diario
Más
2024-05-01(4)
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)
2024-04-26(22)
2024-04-25(34)
2024-04-24(31)
2024-04-23(29)
2024-04-22(5)

Code World

© 2018 codetd.com