那些遇到过的问题

安全问题?

mis*_*ero 3 php security

我正在编写一个小型PHP应用程序,我不确定是否存在安全问题.这就是应用程序的作用:

  • 用户可以上传图像文件(png,gif,jpg,jpeg,tiff和其他几个)或zip文件

我检查mime类型和扩展名,如果不允许,我不允许上传(这不是我担心的部分).

现在,一旦上传,我将文件重命名为唯一的哈希并存储在root访问权限之外的文件夹中.

用户现在可以通过短URL访问该文件.我通过为标题设置正确的mime-type来使文件可访问,然后我只使用readfile().

我的问题是图像文件中包含jar文件的漏洞利用是否适用于此?我将图像作为纯图像提供.

如果有什么办法可以防止这种情况发生?

谢谢.

Vin*_*vic 5

MIME类型检查不会解决GIFAR问题.2009年的JRE已经打补丁,但如果你想解决这个问题,你也可以

  • 从不同的域提供您的图像
  • 运行服务器端的代码来检查,如果图像包含一个有效的JAR,就像提到这里

除了将文件拒绝到具有足够旧JRE的任何支持Java的浏览器之外,其他任何事情都可能在特定情况下失败.

还要记住,要使用这种技术进行良好的攻击,您的服务器基础架构必须有点开放(请求来自同一域的事实并不意味着您应该提供它要求的任何信息.)

归档时间:

查看次数:

415 次

最近记录:

15 年,11 月 前
确保上传的文件是安全的 9
更多相关链接
相关归档
将UNIX时间戳转换为格式化日期字符串 173
为什么在PHP中===比==更快? 165
PHP中的动态常量名称 72
PHP与模板引擎 60
关闭PHP的错误报告 26
实时通知UML类图 25
Drupal:如何获取模块列表 22
mPDF 5.7.1 - 图像显示为破碎[x] 19
使用BREACH/CRIME attacK对HTTPS流量安全问题进行GZIP压缩? 11
使用C#进行RSA SecurID开发 3
难疑归档
为什么Google会在(1)之前提前; 他们的JSON回复? 3940
如何在shell脚本中打印JSON? 2905
Java中的"实现Runnable"与"扩展线程" 2023
如何修复java.lang.UnsupportedClassVersionError:不支持的major.minor版本 1532
如何在所有浏览器中控制网页缓存? 1474
如何比较两个不同分支的文件? 1430
编译用于高放射性环境的应用程序 1414
在Python中将整数转换为字符串? 1282
.gitignore for Visual Studio项目和解决方案 1115
如何进行HTTP POST Web请求 1033