文件上传校验

1. 简介

1.1 功能简介

文件上传漏洞是指攻击者上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。

1.2 使用场景

常见场景是 Web 服务器允许用户上传图片或者普通文本文件,而攻击者绕过上传机制上传恶意代码并执行从而控制服务器。

2. 校验规则

如果打开文件校验开关,在上传文件的时候会校验文件格式是否被篡改。

文件上传校验的规则如下:

校验内容

具体说明

校验格式

jpg ,zip , xlsx ,rar ,ttc ,bmp ,gif ,ttf ,png ,docx ,pptx ,tif ,pdf ,gz ,ppt ,dwg ,jpeg ,doc ,jar ,xls ,mp4 ,mp3 ,mov ,avi ,wav ,ofd

校验策略

  • 宽容策略
    • 当上传的文件不在校验格式列表中时,则在不校验的情况下直接上传
  • 严格策略
    • 当上传的文件不在校验格式列表中时,禁止上传

默认规则

默认校验开关为开、校验策略为宽容策略。

文档内容是否对您有帮助?
有帮助
没帮助没帮助
如需获取即时帮助,请联系技术支持
咨询
扫码领取100+零代码资料简道云官方微信号400-111-0890
图标在线咨询
立即体验