奇安信代码卫士,文件上传漏洞解决demo;
#### 文件上传可以参考以下安全需求进行处理:
1. 服务器配置:
(1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。
(2)应保证服务器安全,避免文件解析漏洞。
2. 在服务端对上传文件进行检查:
(1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。
(2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。
(3)对单个文件大小和总文件数进行限制, 避免拒绝服务攻击。
(4)对文件名进行输入校验,显示时进行输出编码。
3. 文件存储:
(1)上传文件应保存在指定路径下。
(2)对上传文件进行随机数重命名,避免文件被覆盖。
(3)设置上传文件路径, 使用户不能轻易访问自己上传的文件 。
(4) 文件应尽量保存在内容服务器或web目录外部,避免通过web应用直接访问上传的文件。
4. 对于图片文件进行二次渲染、压缩, 避免图片写马。
5. 校验失败后,记录错误日志信息,内容至少包括时间、用户、IP、操作内容、校验失败
- 1
- 2
前往页