此漏洞是指使用者上傳一個可執行的檔案,並透過 access 此檔案以獲得操控服務端的權利。
文件上傳功能本身是一個正常需求,有時候我們會要求使用者上傳大頭貼、文檔、自傳等,所謂的"文件上傳"並沒有問題,但一旦上傳到 server 上,並被 interprete 後,造成的結果如是惡意的,則其稱為上傳漏洞。一般造成的危害有:
● 上傳的是腳本語言,被瀏覽器加載後可任意執行 command
● 上傳 FLASH 的策略文件 crossdomain.xml ,用以控制 FLASH 在該 domain 下的行為
● 上傳病毒,並誘使其他使用者或管理員執行
● 上傳的是包含腳本的圖片,惡意導向其他使用者或執行命令
但上傳需要能夠被利用才叫漏洞,若檔案上傳後無任何途徑可 access ,亦或是被後端壓縮、處理過後,變得無法辨識,則也就不能稱作為漏洞了。
iThome鐵人賽
看影片追技術