Web信息安全8-文件上传漏洞防御
原理
假如服务器环境是php,用户更新头像,却上传一个php文件,再去访问这个php文件路径,这个php文件就在服务器运行了。
攻击者就可以获取服务器的信息、删除文件等等
攻击演示
- 启动DVWA, 进入File Upload
- 新建一个文件1.php, 内容为
<?php phpinfo(); ?> - 将文件上传,拿到地址去访问刚刚上传的文件
http://127.0.0.1/dvwa/hackable/uploads/1.php
服务器的信息泄露了
防御
- 文件类型检测(前端、后端)
- 权限控制(让上传的文件不能有可执行权限)