前端-接入层上传问题

接入层上传

上传问题

  • 上传文件
  • 再次访问上传的文件
  • 上传的文件被当成程序解析

上传问题防御

  • 限制上传后缀
let ext = path.extname(file.name);
if (ext === ".js") {
  throw new Error("不要上传坏文件");
}

但是可以通过改后缀名的方式,达到攻击的目的

  • 文件类型检查
if (file.type != "image/png") {
  throw new Error("只允许PNG");
}

类型是从浏览器读取的,可以不经过浏览器上传文件,依然不安全

  • 文件内容检查
var fileBuffer = fs.readerFileSync(file.path);
fileBuffer[0] == 0x5b;

但是可以通过在文件头部写入对应的内容

GIF89a
<?php

所以还是不安全

  • 程序输出
    • 比较保险,但是对性能可能会有很大的影响
  • 权限控制-可写可执行互斥
    • 这还少一个原则,是安全的一个最低保障

https://www.cnblogs.com/ygjzs/archive/2020/01/31/12246827.html

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!
0 条回复 A 作者 M 管理员
    所有的伟大,都源于一个勇敢的开始!
欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论