参考答案
防范文件上传漏洞的方法:
- 文件上传的目录设置为不可执行;
- 判断文件类型。在判断文件类型的时候,可以结合使用 MIME Type 、后缀检查等方式。因为对于上传文件,不能简单地通过后缀名称来判断文件的类型,因为攻击者可以将可执行文件的后缀名称改为图片或其他后缀类型,诱导用户执行;
- 对上传的文件类型进行白名单校验,只允许上传可靠类型;
- 上传的文件需要进行重新命名,使攻击者无法猜想上传文件的访问路径,将极大地增加攻击成本,同时向 shell.php.rar.ara 这种文件,因为重命名而无法成功实施攻击;
- 限制上传文件的大小;
- 单独设置文件服务器的域名。
以上,是网络安全面试题【如何防范文件上传漏洞】的参考答案。
输出,是最好的学习方法。
欢迎在评论区留下你的问题、笔记或知识点补充~
—end—
