文件上传功能

描述：文件上传功能

文件上传功能通常与许多漏洞相关联，包括：

• 文件路径遍历
• 持续的跨站点脚本
• 将其他客户端代码放入域中
• 病毒和其他恶意软件的传播
• 拒绝服务

您应该查看文件上传功能以了解其目的，并确定上传的内容是否曾经通过其应用程序的正常使用或通过攻击者给予特定链接来返回其他应用程序用户。

评估此功能的安全性影响时需要考虑的一些因素包括：

• 是否可以通过应用程序中的URL下载上传内容。
• 下载文件内容时，应用程序类型和内容分配标题返回应用程序。
• 是否可以将可执行的html/javaScript放入文件中，该文件在查看文件内容时执行。
• 该应用程序是否在上传文件的文件扩展名或MIME类型上执行任何过滤。
• 是否可以构建包含可执行文件和不可执行的内容的混合文件，以绕过任何内容过滤器 - 例如，包含GIF映像和Java Archive（称为GIFAR文件）的文件。
• 哪个位置用于存储上传的内容，以及是否可以提供制作的文件名以逃离此位置。
• 应用程序是否打开了诸如ZIP之类的存档格式。
• 该应用程序如何处理尝试上传非常大的文件或减压炸弹文件。

修复：文件上传功能

文件上传功能并不直接实现。在此功能设计中需要考虑的一些建议包括：

• 如果将上传的文件存储在磁盘上，请使用服务器生成的文件名。
• 检查上传文件的内容，并执行可接受的，不可执行的内容类型的白名单。此外，强制执行公共可执行格式的黑名单，以阻碍混合文件攻击。
• 强制执行已接受的，不可执行的文件扩展名的白名单。
• 如果用户下载上载的文件，请提供准确的非传播内容类型标头，X-content-type-options：nosniff标头，以及一个内容分配标题，该标头指定浏览器应将文件处理为附件。
• 在上传文件上执行尺寸限制（对于深入防御，可以在应用程序代码和Web服务器的配置中实现）。beplay体育能用吗
• 拒绝尝试上传档案格式（例如zip）的尝试。

参考

• 各种概念验证文件
• XSS Polyglot攻击

脆弱性分类

• CWE-434：不受限制地上传危险类型的文件
• CAPEC-17：使用恶意文件

典型的严重程度

信息

类型索引（HEX）

0x00500980

类型索引（十进制）

5245312