当前,大部分的网站和应用系统都有上传功能,包括文档、图片、头像、视频等内容的上传。文件上传功能本身没有问题,但是当系统未对上传文件的内容、后缀和文件类型进行校验或处理逻辑不够安全时,恶意用户就可以绕过文件类型要求向系统上传“任意”文件甚至是可执行文件后门,最终导致严重的后果。
“任意”文件上传的危害
“任意”文件上传的危害与恶意用户上传的文件类型紧密相关,具体可以分为如下几类:
- 上传恶意脚本语言,系统服务器的Web容器会解释并执行对应的恶意代码;
- 上传Flash的策略文件crossdomain.xml,控制Flash在该域下的行为;
- 上传病毒、木马文件,诱骗用户或者管理员下载执行;
- 上传钓鱼图片或包含脚本的图片,用于钓鱼和欺诈;
- 上传Webshell,远程控制系统或致使系统瘫痪。
“任意”文件上传的防护策略
1
文件上传的目录设置为不可执行;
2
采用白名单方式,通过MIME类型、后缀、文件头等内容对文件类型进行检查;
3
使用随机数改写文件名和文件路径;
4
单独设置文件服务器的域名;
5
部署安全防护设备,实时检测恶意文件上传行为。
北京世纪君达管理咨询有限公司成立于2011年,公司涉及军工四证等军密、国密资质咨询指导,定制化保密培训、各类安保产品销售等。是一家为企业提供保密工作咨询性服务的服务平台。公司专注于武器装备科研生产保密资格一级、二级、三级和国军标、武器装备科研生产许可证、武器装备承制名录、军工涉密业务咨询服务单位条件备案、国家秘密载体印制甲乙级、涉密信息系统集成甲乙级等军密国密资质的申请、复审等业务的咨询指导。立足北京,面向全国企、事业单位提供保密教育培训、企业保密管理咨询和军民融合科技咨询服务、涉密场所(保密室)建设、安全保密产品和涉密运行维护等服务。与多家法定行政许可鉴定评审/型式试验机构形成了合作互信关系,以便于能够第一时间掌握最新政策动向,知悉每一位客户所处行业动态,确保为广大客户提供最专业、最权威的企业顾问服务。
www.shijijunda.com
看到这里,你也了解了相关的知识内容了,在进行保密资质的办理时,只有按照相关的办理流程来进行才可以。如果你还有疑问,可以咨询我们专业的指导老师。
欢迎致电北京世纪君达,详询 13522228248我公司十年经验,超高的通过率,专业咨询指导,为您腾飞助力!