文件上传攻击与防御

文件上传攻击与防御

什么是文件上传攻击

在上网的过程中，我们经常会将一些如图片、压缩包之类的文件上传到远端服务器进行保存，文件上传攻击指的是恶意攻击者利用一些站点没有对文件的类型做很好的校验这样的漏洞，上传了可执行的文件或者脚本，并且通过脚本获得服务器上相应的权利，或者是通过诱导外部用户访问或者下载上传的病毒或者木马文件，达到攻击目的

如何进行防御

为了防范用户上传恶意的可执行文件和脚本，以及将文件上传服务器当做免费的文件存储服务器使用，需要对上传的文件类型进行白名单(非黑名单，这点非常重要)校验，并且限制上传文件的大小，上传的文件，需要进行重新命名，使攻击者无法猜测到上传文件的访问路径。
对于上传的文件来说，不能简单的通过后缀名称来判断文件的类型，因为恶意攻击可以将可执行文件的后缀名称改成图片或者其他的后缀类型，诱导用户执行。因此，判断文件类型需要使用更安全的方式。
很多类型的文件，起始的几个字节内容是固定的，因此，根据这几个字节的内容，就可以确定文件类型，这几个字节也被称为魔数(magic number)。