web中上传附件的安全问题
来源:互联网 发布:用win10引导ubuntu 编辑:程序博客网 时间:2024/05/18 15:07
在系统中需要上传附件,是很多系统的需要,而且现在也有很多技术能实现这一需求。但是附件上传可能会存在很大的安全隐患,这不是每个人都能注意到的。
对于普通的附件上传,用户从本机上传文件到服务器web目录,系统记录文件的路径,用户下载时,系统读取文件的路径,在页面输出链接。这个过程中的存在很大的安全隐患。首先没有对用户的上传的文件进行验证,可能是威胁服务器的文件。其次文件上传到web目录,如果用户上传的是一些代码,那么就可在web目录下运行,做任何想做的事情。再者,不要输出上传文件在服务器中的路径,那么用户就不能进行访问了。
我曾经就发现一个网站的论坛存在这样的漏洞。它的论坛可以上传头像,但是对头像的格式没有判别,而且的上传在web目录下,直接输出的上传头像的uri。我就试着上传jsp文件,程序里是我写的文件浏览器。我在页面下访问我上传的“头像”,我就可以任意浏览服务器中的文件,并下载它的源代码。当然我还可以干很多其他的事情,虽然我没有,谁叫咱是遵纪守法的人呢。我还是提醒了论坛的主办者,让他们关闭了头像上传的功能。
在我最近做的教育系统中,我的附件上传就避过了这些因素。首先上传时进行过滤,不可上传的文件类型不让上传;其次上传之后就行改名,按照我的规则进行命名,即使是可执行的文件也不能执行了;再者,文件上传的目录是可配置的,我并不配置在web目录下,这样跟我的数据就分开了;附近读取的时候是通过下载程序通过配置的路径读取文件,写到输出流中,避免用户直接访问文件。
- web中上传附件的安全问题
- jeecg中上传附件的处理
- jeecg中上传附件的处理
- Web开发中需要注意的安全问题
- seam 中附件上传
- 通过web service的方式上传附件和下载附件,以及内存溢出问题
- 上传附件的实现
- 附件的上传
- Struts2的上传附件
- 上传附件的限制
- 修改在Windows2003中上传的附件大小的限制
- lotus附件中上传的图片的拿取方式
- ASP.NET中关于上传附件的大小设置问题
- PHP中上传大附件的编程攻略
- discuz中附件上传许可的修改方法
- ASP.NET中关于上传附件的大小设置问题
- 【discuzx3】编辑器中上传附件大小的限制
- 【discuzx3】discuz编辑器中上传附件大小的限制
- 20060427个人日志[MS SQL 2000 msdb库(置疑)解决处理]
- Google工程师解释Googlebot抓取网页的原理
- Google Earth上面的图片是怎样来的?
- 1.1 介绍(Introduction)
- 八旬老翁收破烂抚养六名弃儿
- web中上传附件的安全问题
- WINCE实现直接写屏(一)
- 选择好适合自已的数据绑定方法!
- WINCE实现直接写屏(二)
- 一个简单的Thread缓冲池的实现
- 文件转为十六进制文本
- 思考
- MS-SQL server数据库开发精典技巧
- 后缀名判断算法