锐客直播_锐客直播app官方正版下载_锐客直播直播视频在线观看免费版下载

400-650-7353

精品課程

文件上傳漏洞產生的原因 造成文件上傳漏洞的原因有哪些

發(fā)布: web前端培訓 發(fā)布時間:2023-05-30 18:17:05

推薦答案
品牌型號:聯(lián)想小新Pro16/系統(tǒng)版本:windows10

文件上傳漏洞產生的原因有:服務器配置不當、開源編輯器上傳漏洞、本地文件上傳限制被繞過、過濾不嚴格被繞過、文件解析漏洞導致文件執(zhí)行、文件路徑截斷。

1、服務器配置不當:在不需要上傳文件的情況下可導致任意文件上傳。

2、開源編輯器上傳漏洞:在文件上傳的功能處,若服務端腳本語言未對上傳的文件進行嚴格驗證和過濾,導致惡意用戶上傳惡意的腳本文件時,就有可能獲取執(zhí)行服務端命令的能力。

3、本地文件上傳限制被繞過:只在客戶端瀏覽器上做了文件限制而沒有在遠程的服務器上做限制,只需要修改上傳時發(fā)送的數(shù)據(jù)包就可以輕松繞過上傳限制 。

4、過濾不嚴格被繞過:網(wǎng)站使用上傳黑名單過濾掉一些可執(zhí)行文件腳本的后綴,但是黑名單不全或者被繞過,也可導致惡意文件上傳。如果使用白名單,僅允許名單內所包含的文件格式上傳會更加安全。

5、文件解析漏洞導致文件執(zhí)行:解析漏洞是指web服務器因對 http 請求處理不當導致將非可執(zhí)行的腳本,文件等當做可執(zhí)行的腳本,文件等執(zhí)行。該漏洞一般配合服務器的文件上傳功能使用,以獲取服務器的權限。

6、文件路徑截斷:上傳的文件中使用一些特殊的符號,文件被上傳到服務器時路徑被這些符號截斷,從而控制文件上傳的路徑。

其它答案
冰闊落 2020-06-22 18:56:36

造成文件上傳漏洞的原因主要是在于開發(fā)者對代碼開發(fā)沒有考慮文件格式后綴的合法性校驗或者是否只在前端通過 JS 腳本進行后綴檢驗,在向日葵看來,關鍵原因還是在于代碼的嚴謹性不夠健全才會導致此類漏洞出現(xiàn)。

中公旗下IT培訓品牌

  • 中公教育品牌

     中公教育是一家中國領先的全品類職業(yè)教育機構,提供超過100個品類的綜合職業(yè)就業(yè)培訓服務。公司在全國超過1000個直營網(wǎng)點展開經營,深度覆蓋300多個地級市,并正在快速向數(shù)千個縣城和高校擴張。

  • 完善就業(yè)體系

    通過階段性授課機制,和每階段的定期考核,先讓學員能夠學會所學內容,才能找打合適工作。最后一個階段為就業(yè)課程,從技術和面試兩個方面加深就業(yè)能力,并且還有不定期的雙選會供大家選擇。

  • 全程面授+實戰(zhàn)技術

    線下課程全程是師資面對面教學,不會存在上課只對著大屏幕上課的情況,有問題都可以在課上得到解答。并且優(yōu)就業(yè)通過自主研發(fā)大綱和學習路線,并且定期更新課程所學技術,讓大家所學技術不落伍。

中公優(yōu)就業(yè)專業(yè)職業(yè)規(guī)劃老師

為您詳細答疑解惑,更能領取免費課程

相關問題

更多課程

專業(yè)課程老師將第一時間為您解答

立即答疑
修改
優(yōu)就業(yè):ujiuye

關注中公優(yōu)就業(yè)官方微信

  • 關注微信回復關鍵詞“大禮包”,領80G學習資料