任意文件上传漏洞的检测方法发布时间:2020/12/16 16:15:45 阅读次数:

  

在应用系统的运营过程中,不可避免地要对网站的某些页面或者内容进行更新,这时便需要使用到网站的文件上传的功能。如果不对被上传的文件进行限制或者限制被绕过,该功能便有可能会被利用于上传可执行文件、脚本到服务器上,进而进一步导致服务器沦陷。

20200929140526986.png

那么任意文件上传漏洞的检测方法:


找到系统中可以上传文件的地方。


上传系统要求的合法文件,确定上传点可用。


上传Web Shell。


访问上传Web Shell文件的链接地址。


防护方案:


对文件格式限制,只允许某些格式上传。


对文件格式进行校验,前端和服务器都要进行校验(前端校验扩展名,服务器校验扩展名、Content Type等)。


将上传目录防止到项目工程目录之外,当作静态资源文件路径,并且对文件的权限进行设定,禁止文件下的执行权限。