文件上傳漏洞概述〈四〉

DAY 18

鐵人賽

1760 瀏覽

安全的上傳功能

謹記住兩個原則：可執行就不可寫入，可寫入就不可執行

在處理類型請使用白名單，並且對於圖片的處理可使用壓縮函式或是 resize 函式以破壞內有的惡意程式碼

即使惡意代碼上傳成功，攻擊者也無法 access 到檔案，進而阻斷利用的可能性

如 Google 和 Yahoo ，它們將圖片、上船的檔案都放在不同的 domain 下，即使真的發生問題，能影響的範圍也不大

系列文

駭客手法解析~你不能不知的資安問題!! 共 30 篇

9 人訂閱

完整目錄

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22190 篇

完賽人數

601 人

IT邦幫忙