首页 > 试题广场 >

小牛开发文件上传功能时，遇到了一些安全问题，那么对于文件上传

[不定项选择题]

小牛开发文件上传功能时，遇到了一些安全问题，那么对于文件上传漏洞，有效防御手段有哪些？

```
浏览器端限制文件扩展名
```
```
服务器端限制文件扩展名
```

将上传的文件存储在静态文件服务器中

```
验证Content-Type
```

查看答案及解析

LKOne

对于ABD:攻击者很有可能会构造一个类似 ../../../attack.jpg 的文件名，如果程序没有注意直接使用的话很有可能就把服务器的关键文件覆盖导致程序崩溃，甚至更有可能直接将 /etc/passwd 覆盖写上攻击者指定的密码从而攻破服务器，/ 等字符是文件名非法字符，用户是定义不了这种名字的,但是服务器并不是直接和用户的文件进行交互的，而是通过 HTTP 请求拿到用户的文件,在 HTTP 表单上传请求中，文件名是作为字符串存储的。只要是合法的 HTTP 请求格式，攻击者可以构造请求中的任何内容用于提交给服务器。最好在服务器设置白名单过滤后缀名.

来自:Web 安全漏洞之文件上传 - 知乎 (zhihu.com)

对于C:个人理解静态服务器就是一个简单的存取,没有动态响应的那种程序逻辑.静态服务器和动态服务器（静态web页面和动态web页面） - seeBetter - 博客园 (cnblogs.com)

发表于 2022-05-10 18:57:14 回复(0)