企業(yè)網(wǎng)站建設(shè)文件上傳的漏洞

發(fā)布：2019-04-02 08:54:04 瀏覽：5631

文件上傳漏洞指的是用戶上傳了一個可執(zhí)行的腳本文件，并通過此腳本文件獲得了執(zhí)行服務(wù)器端命令的能力。這種攻擊方式是最為直接和有效的，“文件上傳”本身沒有問題，有問題的是文件上傳后，服務(wù)器怎么處理、解釋文件。如果服務(wù)器的處理邏輯做的不夠安全，則會導(dǎo)致嚴(yán)重的后果。

在我們平時常用的很多網(wǎng)站中，例如電子郵件網(wǎng)站、論壇等很多網(wǎng)站中，都允許用戶上傳文件、圖片、視頻等內(nèi)容到網(wǎng)站服務(wù)器中。如果網(wǎng)站的開發(fā)人員沒有做好身份的認(rèn)證和數(shù)據(jù)的過濾排查，很有可能被黑客利用。黑客可以利用如Telnet服務(wù)等功能對網(wǎng)站內(nèi)容和數(shù)據(jù)進行修改和破壞。這里上傳的惡意文件可以是木馬程序、病毒，Webshell或者惡意腳本等。這種攻擊方式直接、簡單又有效。