如何阻止Web服务器中的可执行文件上传

Question

我正在研究一个Web应用程序项目，以阻止所有文件可执行文件的文件上传。 示例：用户可以上传，txt，png，图像和视频文件，而不是任何可执行的脚本，例如perl，python，exe，exe，php，.so，.sh文件。

如果它是一个PHP文件，则我将“＆lt;？php”标签strstr，如果存在此标签，则是PHP文件。我们如何找到其他脚本/可执行文件相同的？

编辑：有些时间黑客将使用.png或.jpg Extn上传恶意文件，那么在文件内部检查的模式是什么？

Answer 1

而不是自己检查自己的检查，而是使用现有库，而您 阻止所有未按所需格式注册的所有内容 。

大多数这样的库猜想通过寻找某些 或 魔术字节序列 处于特定位置文件。
其他库可能更专业，例如仅识别图像或视频格式。

• https://www.php.net/manual/manual/enual/en/en/intro.fileinfo。 php
• https://github.com/ahupp/ahupp/python-magic
• href =“ https://docs.python.org/3/library/imghdr.html” rel =“ nofollow noreferrer”> https://docs.python.org/3/library/library/imghdr.html

文件程序是用于标识文件类型的命令行工具。

在您识别并仅接受所需的文件格式的第一个通过之后，您应该将所有未拒绝​​的文件进行通过防病毒扫描仪。

根据您的用例，您可能会决定剥离原始文件名扩展名和/或上传过程中提供的完整文件名，并分配检测到的哑剧类型，而不是依靠用户提供的属性。