读取文件与执行文件一样危险

Question

在Perl中,如果允许将任何文件类型上载到服务器(而不是在web根目录中)并因此下载,这可能会有危险吗？它不是这样执行的,而是读作二进制文件.

Answer 1

我将重申@ ThisSuitIsBlackNot的文件上传安全注意事项的链接......

• 无限制的文件上载漏洞
• 完整的文件上传漏洞根本不完整,但包含一些很好的例子.
• CWE-434:无限制上传危险类型的文件
• 8实施安全文件上传的基本规则

这些可以归结为......

• 对您的服务器有危险
  • 注入服务器将执行的特殊文件或文件扩展名.
    • .htaccess(每个目录的Apache配置文件)
    • .php,.asp,.cgi等...
  • 在下载目录之外注入系统文件.
    • / etc/passwd或../../../../etc/passwd
  • 利用处理库中的缺陷
    • 图像调整大小
    • XML/JSON解析
  • SQL注入攻击
    • 文件名
    • 文件元数据
  • 壳牌注射攻击
    • 文件名
  • 缓冲区溢出
    • 文件大小
    • HTTP上传大小
    • 文件名大小
    • 目录深度
  • 填写磁盘拒绝服务
• 对他人的危险
  • 网络钓鱼攻击
    • 上传恶意.html文件,使其显示URL来自您的(受信任)主机.
    • 上传恶意.js文件并从您域中的其他位置(可能是论坛帖子)引用它来规避XSS攻击防御.
  • 将您的服务用作匿名攻击媒介
    • BOTnet控制文件
    • 盗版文件,包括种子
    • 勒索或骚扰目的的个人数据
    • 特洛伊木马/病毒文件