请选择 进入手机版 | 继续访问电脑版

默认
回复 0

191

主题

197

帖子

615

积分

高级会员

Rank: 4

积分
615
QQ
文件上传漏洞[复制链接]
发表于 2018-7-3 06:31:42 | 显示全部楼层 |阅读模式

文件上传攻击漏洞原理

在上网中,我们经常会将一些图片,压缩包之类的文件上传到远程服务器。文件上传攻击指的就是利用一些站点没有对文件的类型进行很好的校验,用户上传了一些可执行的文件或者脚本,并且通过脚本获得服务器的相应的权限,或者是通过诱导外部用户访问,下载上传病毒或木马文件,达到攻击的目的。

为了防范用户上传恶意的可执行文件和脚本,以及将文件上传服务器当做免费的文件储存服务器用,我们需要对上传的文件类型进行白名单校验(这是相当重要滴),并且需要限制上传文件的大小,上传文件需要进行重新命名。使攻击者无法猜测到上传文件的访问路径。

对于上传的文件来说,不能简单的后缀名称来判断文件的类型,因为恶意攻击可以将可执行文件的后缀改成图片或者其他类型的后缀,诱导用户执行。因此判断文件类型需要更加安全的方法

文件上传攻击漏洞防范

1.利用魔数枚举法,判断文件类型



  •         JPG ("FFD8FF"),



  •         PNG ("89504E47"),



  •         GIF ("47494638"),



  •         TIFF("49492A00")



  •         Windows Bitmap (bmp)("424D"),  



  •         CAD (dwg)("41433130"),  



  •         Adobe Photoshop (psd)("38425053"),  



  •         Rich Text Format (rtf)("7B5C727466"),  



  •         XML (xml)("3C3F786D6C"),  



  •         HTML (html)("68746D6C3E"),  



  •         Email [thorough only] (eml),(":44656C69766572792D646174653A "),



  •         Outlook Express (dbx)("CFAD12FEC5FD746F"),



  •         Outlook (pst)("2142444E"),



  •         MS Word/Excel (xls.or.doc)("D0CF11E0"),  



  •         MS Access (mdb)("5374616E64617264204A"),  



  •         WordPerfect (wpd)("FF575043"),  



  •         Postscript (eps.or.ps)("252150532D41646F6265"),  



  •         Adobe Acrobat (pdf)("255044462D312E"),  



  •         Quicken (qdf)("AC9EBD8F"),  



  •         Windows Password (pwl)("E3828596"),  



  •         ZIP Archive (zip)("504B0304"),  



  •         RAR Archive (rar)("52617221"),  



  •         Wave (wav)("57415645"),  



  •         AVI (avi)("41564920"),  



  •         Real Audio (ram),("2E7261FD"),  



  •         Real Media (rm),("2E524D46"),  



  •         MPEG (mpg)("000001BA"),  



  •         MPEG (mpg)("000001B3"),  



  •         Quicktime (mov)("6D6F6F76"),  



  •         Windows Media (asf)("3026B2758E66CF11"),  



  •         MIDI (mid)("4D546864"),  


2.imagemagick是一套功能强大,稳定的开源针对图片处理的开发工具包,能够处理多种格式的图片文件,可以利用imagemagick来对图片进行缩放处理(需要搭建环境)。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


QQArchiver 手机版 小黑屋  

免责声明:网站所有帖子,内容均为网友提供,不代表本社区立场! , Processed in 0.202808 second(s), 38 queries .

Powered by Discuz! X3.2

Copyright © 2015 ~ 2018 maishell交易网 保留所有权利!

返回顶部