用户上传的文件名和文件内容是否会对服务器造成攻击?是否可能存在安全问题?
给政府部门做了一套管理系统,后来要求我们整改安全隐患问题。其中一点要求限制用户上传的文件名中不能包含特殊字符。
那真有这种通过上传的文件攻击服务器的可能么?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
给政府部门做了一套管理系统,后来要求我们整改安全隐患问题。其中一点要求限制用户上传的文件名中不能包含特殊字符。
那真有这种通过上传的文件攻击服务器的可能么?
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(2)
比如往jsp站点传一个"../../../../test.jsp"文件?
不必怀疑,“任意文件上传”是一种漏洞类型,对上传的文件加以限定是必要的。
上传的文件如果包含恶意代码,且在后端执行,往往会导致攻击者拿到 WebShell。
你可能会想,这与文件名有什么关系呢?有的。
首先是文件名中包含的代码也有可能被执行到。
其次,文件名中的特殊字符可能导致你的文件上传检查失效,例如 CVE-2015-2348。
回答者:
YvesX @ 创宇前端