浅谈web上存漏洞及原理分析、防范方法(安全文件上存方法)
2023-06-13 09:15:02 时间
这类漏洞,主要是可以读取用户传入路径名称,采用不正确的过滤方法,导致恶意用户,将文件上存到非预期的地方,带来安全隐患。
其实,我们抓住几个地方即可,我们先来分析下,既然用户要上存文件,而且文件将是多种多样格式;可能有的文件内容与用户传入格式不一致,有的文件内容还夹杂木马代码。那么,我们让用户上存文件,跟站点文件做一个分别授权,做隔离。
让保存上存目录独立开来,目录权限只读不能执行
这一步从系统设计加以授权,无论你上次什么文件,都不可能执行到。就算我不做任何检测,你的文件都上存到这里了,也不会对我系统构成安全。(如果有用户上存一些反动言语的图片,那另外需要处理的)
不直接使用服务器传入值,所有都要进行检测
这类跟我们做一切输入都是有害原则一样,对于客户端传入的:type,name,都要进行判断,不直接使用。对于要生成到某个目录,某个文件名。
文件名最好方法是:自己写死目录(不要读取传入目录),文件名,最好自己随机生成,不读取用户文件名。文件扩展名,可以取最右边”.”后面字符。
以上2个方法,刚好从2个方面对上存做了整体约束。
方法2:保存上存文件名,按照自己指定目录写入,并且文件名自己生成的。
方法1:只要保证文件写对了位置,然后从配置上,对写入目录进行权限控制,这个是治本。可以做到,你无论上存什么文件,都让你没有权限跳出去可以运行。
以上2个方法,一起使用,可以保证文件正确存到地方,然后,权限可以控制。这里顺便说明下,判断用户上存文件是否满足要求类型,就直接检查文件扩展名,只要满足扩展名就让上存。反正,做了执行权限限制,你不按要求上存内容,也无妨。反正,不能执行,也不会有多大危害性的。
正确步骤:
1.读取文件名,验证扩展名是不是在范围内
2.自己定义生成的文件名,目录,扩展名可以来自文件名扩展名。其它值,都自己配置,不读取上存中内容
3.将文件移到新目录(这个目录权限设置只读)
好了,以上是一般操作方法,希望对大家有帮助,也欢迎朋友们交流!也希望提供更好的方法!接下来,我会在web开发中,常见一些方法功能安全设计方面继续写一些我的心得,看法!
其实,我们抓住几个地方即可,我们先来分析下,既然用户要上存文件,而且文件将是多种多样格式;可能有的文件内容与用户传入格式不一致,有的文件内容还夹杂木马代码。那么,我们让用户上存文件,跟站点文件做一个分别授权,做隔离。
文件名最好方法是:自己写死目录(不要读取传入目录),文件名,最好自己随机生成,不读取用户文件名。文件扩展名,可以取最右边”.”后面字符。
以上2个方法,刚好从2个方面对上存做了整体约束。
方法2:保存上存文件名,按照自己指定目录写入,并且文件名自己生成的。
方法1:只要保证文件写对了位置,然后从配置上,对写入目录进行权限控制,这个是治本。可以做到,你无论上存什么文件,都让你没有权限跳出去可以运行。
以上2个方法,一起使用,可以保证文件正确存到地方,然后,权限可以控制。这里顺便说明下,判断用户上存文件是否满足要求类型,就直接检查文件扩展名,只要满足扩展名就让上存。反正,做了执行权限限制,你不按要求上存内容,也无妨。反正,不能执行,也不会有多大危害性的。
2.自己定义生成的文件名,目录,扩展名可以来自文件名扩展名。其它值,都自己配置,不读取上存中内容
3.将文件移到新目录(这个目录权限设置只读)
好了,以上是一般操作方法,希望对大家有帮助,也欢迎朋友们交流!也希望提供更好的方法!接下来,我会在web开发中,常见一些方法功能安全设计方面继续写一些我的心得,看法!
相关文章
- 超详细本地文件包含漏洞详解(小白也能懂!)
- Portswigger 文件上传漏洞
- 漏洞复现 - - - Springboot未授权访问
- 实战 | 记一次5000美金的文件上传漏洞挖掘过程
- Lanproxy 任意文件读取漏洞 (CVE-2021-3019)漏洞利用
- ICMS 8.0.0后台任意文件读取0day漏洞分析
- 【漏洞复现】 jquery 文件上传 (CVE-2018-9207|CVE-2018-9208)
- 银行智能案防:以“AI技防”堵住违规漏洞
- CVE-2022-44268 ImageMagick任意文件读取漏洞
- 利用SQL注入漏洞实现MySQL数据库读写文件
- CVE-2019-2729 Weblogic 反序列化漏洞
- 实战 | 记一次Microsoft服务预订中的存储型XSS漏洞挖掘
- php漏洞分析之网站漏洞修复服务商
- VuCSA:一款包含大量漏洞的客户端-服务器安全练习平台
- 被曝高危漏洞,威胁行为者可获取Amazon Photos文件访问权限
- 暴雷漏洞
- 谷歌 Project Zero 团队宣布新政策,漏洞披露前将有完整的 90 天缓冲期
- 对众多知名公司造成影响的Oracle Responsys本地文件包含漏洞
- PHP本地文件包含漏洞环境搭建与利用
- PHP文件包含漏洞总结
- Linux服务器漏洞防护:必不可少的安全扫描(linux服务器漏洞扫描)
- :分析SQL Server漏洞及如何防范(sqlserver 漏洞)
- Struts2 又现高危漏洞,黑客分分钟可远程执行任意系统命令【紧急预警】
- 网页木马代码例子(里面的文件是漏洞扫描器,呵呵)
- 【最新漏洞】IE中使用Rds.DataSpace下载并运行病毒文件
- ASP的chr(0)文件上传漏洞原理和解决方法介绍