【WEB安全】之文件上传漏洞

文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的，如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，攻击者可通过Web访问的目录上传任意文件，包括网站后门文件（webshell），进而远程控制网站服务器。

因此，在开发网站及应用程序过程中，需严格限制和检验上传的文件，禁止上传恶意代码的文件。同时限制相关目录的执行权限，防止webshell攻击。

 场景描述 

某产品业务需要用户上传图片文件，用户可在上传点处成功上传任意图片，并可通过抓包更改上传图片的文件类型绕过前台校验，上传任意jsp文件，通过访问该jsp文件url路径，进而获取网站webshell。

 问题分析 

产品在做安全设计时，当需要用户上传文件时，服务系统后台未对上传到后台的文件类型做校验，当攻击者在前台上传图片时，可通过burpsuite拦包将上传图片改为.jsp格式，上传成功后，系统返回的报文中会暴露上传文件的存放路径，攻击者成功访问该路径即可获得webshell。

 风险分析 

系统文件校验漏洞导致的这类后门，使得攻击者获取网站权限后可对系统的文件（如/etc/passwd文件）做权限范围内的任意操作（删，查，改），还可以修改后台设置等，严重影响系统的机密性和完整性，可服务性。

 解决方案 

• 后台对上传的文件类型，大小等做白名单进行校验
• 上传的目录权限设置成不可执行，并遵循最小权限原则。

 智能云网  

智能云网社区是华为专为开发者打造的“学习、开发、验证、交流”一站式支持与服务平台，该平台涵盖多领域知识。目前承载了云园区网络，云广域网络，数通网络开放可编程，超融合数据中心网络，数通网络设备开放社区共五个场景。为了响应广大开发者需求，还提供了开发者交流、API 体验中心、多媒体课件、SDK工具包、开发者工具以及远程实验室共六大工具，让开发者轻松开发。欢迎各位前来体验。

>>戳我了解更多<<