只要文件合法性检查的强度足够,就能防护文件上传漏洞。
举一反三
- 扩展名检查是防护文件上传漏洞的一种有效方法。
- 可以通过文件类型(mimetype)检查防护文件上传漏洞,而且安全性很高
- 在文件上传之后,给文件分配一个比较复杂的名字,并且把文件的访问路径隐藏起来,可以一定程度上防护文件上传漏洞
- 文件上传漏洞产生的原因是什么?( ) A: WEB应用开放的文件上传功能,并对文件上传功能没有足够的限制 B: 程序开发部署的时候没有考虑到系统的特性和过滤不严格 C: 利用文件上传漏洞进行Cookie欺骗 D: 攻击者通过WEB服务器解析漏洞绕过限制,导致可以任意上传文件
- 设置 Apache ,让用户上传的文件仅当做资源和数据,而不能当作代码执行,可以从根本上防护文件上传漏洞