不安全文件上传

Q: 不安全文件上传 是什么?

Web 应用未经严格校验即接收用户上传文件的漏洞,攻击者可借此上传恶意文件,导致远程代码执行、网页篡改或数据泄露。 它属于网络安全的 攻击与威胁 分类。

Q: 如何防御 不安全文件上传?

针对 不安全文件上传 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

不安全文件上传是什么?

不安全文件上传Web 应用未经严格校验即接收用户上传文件的漏洞,攻击者可借此上传恶意文件,导致远程代码执行、网页篡改或数据泄露。

不安全文件上传发生在 Web 应用对用户上传文件的文件名、MIME 类型、内容、大小和存储位置缺乏严格校验时。攻击者利用该漏洞上传 Web Shell(PHP/ASPX/JSP)、多态文件、含恶意宏的 Office 文档或超大负载。一旦文件被放置在 Web 可访问目录并被服务器执行,即可实现远程代码执行、持久化或横向移动到内网。常见防御包括对扩展名与 MIME 类型实施白名单、校验文件魔数字节、服务器端重命名、存放于 Web 根目录之外、反恶意软件扫描,以及通过独立域名并使用严格的 Content-Type 头进行下发。

● 示例

01
在头像上传接口处把 `shell.php` 伪装成 JPEG 进行上传,服务端未校验真实内容。
02
向 HR 招聘门户提交带有恶意宏的 Word 简历。

● 常见问题

不安全文件上传是什么?

Web 应用未经严格校验即接收用户上传文件的漏洞,攻击者可借此上传恶意文件,导致远程代码执行、网页篡改或数据泄露。它属于网络安全的攻击与威胁分类。

不安全文件上传是什么意思?

Web 应用未经严格校验即接收用户上传文件的漏洞,攻击者可借此上传恶意文件,导致远程代码执行、网页篡改或数据泄露。

如何防御不安全文件上传?

针对不安全文件上传的防御通常结合技术控制与运营实践,详见上方完整定义。

不安全文件上传

不安全文件上传是什么?

● 示例

● 常见问题

● 相关术语

● 另见

不安全文件上传 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

不安全文件上传是什么?