那些遇到过的问题

上传的白名单或黑名单文件扩展名?

5 security policy

我正在制作一个新闻通讯编辑器,允许文件上传(新闻通讯的发件人可以将文件上传到将在电子邮件中链接的服务器).

该站点设置为只有.do URI实际上由servlet执行/处理,所以它没有太大的安全风险,但我被告知黑名单.jsp,.php,.asp,.aspx,.exe, .com和.bat.这并不是一个全面的黑名单,我的印象是黑名单不是一个好的政策.

另一方面,白名单将长达数十年.识别允许/不允许的扩展的正确方法是什么?或者只是允许任何东西并通过病毒扫描程序或其中某些组合运行它更合适?

Kim*_*ais 1

或者只允许任何内容并通过病毒扫描程序运行它是否更合适。

是的。

黑名单和白名单都可以被轻易规避,只会给管理带来麻烦,而且不提供任何安全性。

归档时间:

查看次数:

7319 次

最近记录:

7 年,3 月 前
相关归档
使用端口80运行Node.js时的最佳做法(Ubuntu/Linode) 250
Amazon S3文件基于IP地址访问策略 30
将我的"下一个"网址存储在已签名的Cookie中并将其重定向到无忧无虑是否安全? 12
线程上的 Java 安全管理器 5
"请求"cookie是否应设置安全标志? 5
无法使用 java / keytool 签署 dig sig 4
我没有得到SafeUrl/SafeStyle背后的概念 4
这是什么样的SQL注入? 3
Winhttp - 如果对等证书无效,则阻止成功握手 3
是否存在与Java URL过滤器/拦截器等效的PHP? 2
难疑归档
如何解决Git中的合并冲突 4600
如何有效地迭代Java Map中的每个条目? 3113
如何在JavaScript中获取查询字符串值? 2701
如何使用JavaScript漂亮地打印JSON? 2222
JavaScript发布请求,如表单提交 1465
Python的隐藏功能 1419
插入...值(SELECT ... FROM ...) 1340
MVC和MVVM有什么区别? 1275
如何在不使用存储库的情况下将Docker镜像从一个主机复制到另一个主机 1181
如何旋转Android模拟器显示? 1031