我工作的公司最近在我们托管的网站上遇到了许多标头注入和文件上传攻击,虽然我们已经修复了关于标头注入攻击的问题,但我们尚未控制上传漏洞.
我正在尝试设置一个即插即用型的上传脚本系列,以便内部使用,设计人员可以将其复制到他们的网站结构中,修改一些变量,并有一个随时可用的上传表单.他们的网站.我们希望尽可能地限制我们的曝光(我们已经关闭了fopen和shell命令).
我在网站上搜索了最后一小时,发现许多不同的答案处理依赖外部资源的特定方法.您认为什么是最好的仅限脚本的解决方案,具体到足以用作可靠的保护方法?另外,如果可能的话,我想将语言限制为PHP或伪代码.
编辑:我找到了我的答案(在下面发布),虽然它确实使用了shell命令exec(),但是如果阻止脚本文件被上传(这个解决方案做得很好),你就不会遇到任何问题.