文件上传漏洞

文件上传攻击漏洞原理

在上网中，我们经常会将一些图片，压缩包之类的文件上传到远程服务器。文件上传攻击指的就是利用一些站点没有对文件的类型进行很好的校验，用户上传了一些可执行的文件或者脚本，并且通过脚本获得服务器的相应的权限，或者是通过诱导外部用户访问，下载上传病毒或木马文件，达到攻击的目的。

为了防范用户上传恶意的可执行文件和脚本，以及将文件上传服务器当做免费的文件储存服务器用，我们需要对上传的文件类型进行白名单校验（这是相当重要滴），并且需要限制上传文件的大小，上传文件需要进行重新命名。使攻击者无法猜测到上传文件的访问路径。

对于上传的文件来说，不能简单的后缀名称来判断文件的类型，因为恶意攻击可以将可执行文件的后缀改成图片或者其他类型的后缀，诱导用户执行。因此判断文件类型需要更加安全的方法

文件上传攻击漏洞防范

1.利用魔数枚举法，判断文件类型 

        JPG ("FFD8FF"), PNG ("89504E47"), GIF ("47494638"), TIFF("49492A00") Windows Bitmap (bmp)("424D"),  CAD (dwg)("41433130"),  Adobe Photoshop (psd)("38425053"),  Rich Text Format (rtf)("7B5C727466"),  XML (xml)("3C3F786D6C"),  HTML (html)("68746D6C3E"),  Email [thorough only] (eml)，("：44656C69766572792D646174653A "), Outlook Express (dbx)("CFAD12FEC5FD746F"), Outlook (pst)("2142444E"), MS Word/Excel (xls.or.doc)("D0CF11E0"),  MS Access (mdb)("5374616E64617264204A"),  WordPerfect (wpd)("FF575043"),  Postscript (eps.or.ps)("252150532D41646F6265"),  Adobe Acrobat (pdf)("255044462D312E"),  Quicken (qdf)("AC9EBD8F"),  Windows Password (pwl)("E3828596"),  ZIP Archive (zip)("504B0304"),  RAR Archive (rar)("52617221"),  Wave (wav)("57415645"),  AVI (avi)("41564920"),  Real Audio (ram)，("2E7261FD"),  Real Media (rm)，("2E524D46"),  MPEG (mpg)("000001BA"),  MPEG (mpg)("000001B3"),  Quicktime (mov)("6D6F6F76"),  Windows Media (asf)("3026B2758E66CF11"),  MIDI (mid)("4D546864"),  

2.imagemagick是一套功能强大，稳定的开源针对图片处理的开发工具包，能够处理多种格式的图片文件，可以利用imagemagick来对图片进行缩放处理（需要搭建环境）。

注：imagemagic的功能十分强大，并不局限于图像的缩放，还可以进行图片水印的生成，锐化，截取，图像格式转换等一系列复杂的操作。