iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 13
1
Security

資安這條路─以自建漏洞環境學習資訊安全系列 第 13

資安這條路 13 - [文件處理漏洞] 任意上傳檔案

  • 在實務經驗上,常常有許多網站,針對上傳檔案沒有進行限制,導致可以上傳任意副檔名的檔案,或是限制只有做一半,導致駭客可以繞過。

原理

bypass

  • 解析問題

防護手法

  • 上傳檔案後,重新命名檔案名稱,防止駭客取得路徑
  • 設立白名單檢查副檔名與 MIME (Multipurpose Internet Mail Extensions)
  • 透過掃毒軟體掃描上傳檔案
  • 若是圖檔服務可使用 AWS s3 或其他可上傳圖片的服務

LAB


上一篇
資安這條路 12 - [Injection] Server-side request forgery (SSRF)
下一篇
資安這條路 14 - [權限控管漏洞] 水平越權、垂直越權、資料洩漏
系列文
資安這條路─以自建漏洞環境學習資訊安全31

尚未有邦友留言

立即登入留言