发布 : web前端培训 发布时间:2023-05-30 18:17:05
文件上传漏洞产生的原因有:服务器配置不当、开源编辑器上传漏洞、本地文件上传限制被绕过、过滤不严格被绕过、文件解析漏洞导致文件执行、文件路径截断。
1、服务器配置不当:在不需要上传文件的情况下可导致任意文件上传。
2、开源编辑器上传漏洞:在文件上传的功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的能力。
3、本地文件上传限制被绕过:只在客户端浏览器上做了文件限制而没有在远程的服务器上做限制,只需要修改上传时发送的数据包就可以轻松绕过上传限制 。
4、过滤不严格被绕过:网站使用上传黑名单过滤掉一些可执行文件脚本的后缀,但是黑名单不全或者被绕过,也可导致恶意文件上传。如果使用白名单,仅允许名单内所包含的文件格式上传会更加安全。
5、文件解析漏洞导致文件执行:解析漏洞是指web服务器因对 http 请求处理不当导致将非可执行的脚本,文件等当做可执行的脚本,文件等执行。该漏洞一般配合服务器的文件上传功能使用,以获取服务器的权限。
6、文件路径截断:上传的文件中使用一些特殊的符号,文件被上传到服务器时路径被这些符号截断,从而控制文件上传的路径。
造成文件上传漏洞的原因主要是在于开发者对代码开发没有考虑文件格式后缀的合法性校验或者是否只在前端通过 JS 脚本进行后缀检验,在向日葵看来,关键原因还是在于代码的严谨性不够健全才会导致此类漏洞出现。
咨询还可获得
对应免费课程