iT邦幫忙

第 12 屆 iThome 鐵人賽
DAY 13
3
Security

資安這條路─以自建漏洞環境學習資訊安全系列 第 13

資安這條路 13 - [文件處理漏洞] 任意上傳檔案

12th鐵人賽
27418 瀏覽

  • 分享至 

  • xImage
    •  
  • 在實務經驗上,常常有許多網站,針對上傳檔案沒有進行限制,導致可以上傳任意副檔名的檔案,或是限制只有做一半,導致駭客可以繞過。

原理

bypass

  • 解析問題

防護手法

  • 上傳檔案後,重新命名檔案名稱,防止駭客取得路徑
  • 設立白名單檢查副檔名與 MIME (Multipurpose Internet Mail Extensions)
  • 透過掃毒軟體掃描上傳檔案
  • 若是圖檔服務可使用 AWS s3 或其他可上傳圖片的服務

LAB


上一篇
資安這條路 12 - [Injection] Server-side request forgery (SSRF)
下一篇
資安這條路 14 - [權限控管漏洞] 水平越權、垂直越權、資料洩漏
系列文
資安這條路─以自建漏洞環境學習資訊安全31
  1. 27
    資安這條路 27 - [伺服器軟體]Web 應用伺服器-Tomcat、Weblogic、Websphere、Jboss
  2. 28
    資安這條路 28 - [作業系統] Windows、Linux
  3. 29
    資安這條路 29 - [滲透測試] 滲透測試流程、資訊安全概論
  4. 30
    資安這條路 30 - [WebSecurity] 統整弱點
  5. 31
    資安這條路 31 - [WebSecurity] 資源分享
完整目錄
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
19854
完賽人數
528
iT+看影片追技術 看影片追技術 看更多
熱門tag
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 17th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# linux windows server css react
熱門問題
熱門回答
熱門文章
IT邦幫忙