文件上传如何合理地验证文件类型?
在网上搜了一下,通常都是经过文件后缀名判断,很显而易见的是用户经过修改后缀名来逃避,我想问的问题有两个:php
-
还有什么验证文件类型的方法?框架
-
攻击者利用后缀名漏洞能形成什么样的危害?code
在网上找到的攻击方式有:图片
- 修改后缀名(exe->jpg),
- 多后缀名(test.php.fr),
- 后缀名大小写(php->pHp),
- 代码嵌入(图片里注入php代码),
- null字符(00)
- 相对路径(
../../../)
知乎用户-江南回答
其实对于防护者来讲,其实不用这么费劲来进行验证get
- 时间戳+随机数+.jpg后缀,强制重命名上传文件
- 隐藏上传后的文件名
- 上传目录不给执行权限
- 上传的文件按照图片执行
文件上传攻击框架文件上传
相关文章
- 1. 文件上传之类型验证
- 2. 百度文件上传webuploader上传文件,含文件大小、类型验证
- 3. struts2文件上传,文件类型 allowedTypes struts2文件上传,文件类型 allowedTypes
- 4. 文件上传验证
- 5. fileupload 验证文件类型
- 6. php上传文件类型
- 7. 如何将本地文件上传github
- 8. 页面验证上传文件的类型
- 9. 验证上传文件类型是否属于图片格式
- 10. 文件上传漏洞之getimagesize()类型验证
- 更多相关文章...
- • PHP 文件上传 - PHP教程
- • PHP 文件处理 - PHP教程
- • Kotlin学习(二)基本类型
- • Docker容器实战(七) - 容器眼光下的文件系统
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
