作者czchen (我心因何恼春风)
看板PHP
标题[请益] 被上传档案的安全性问题
时间Tue Mar 14 19:18:09 2023
想请问一个问题,就是我做的系统是有上传功能的....不能把上传完全停掉....
这样是不是骇客在client端强制发出form上传档案请求,server端这边就一定会接下来
放到tmp资料夹的.tmp档案?
因为防毒软体时不时就侦测到有web shell感染的.tmp档躲在tmp资料夹,
初步猜测好像没有危险,但是tmp资料夹常常被传入web shell的暂存档触发警报又非常
困扰。
一般面对这种问题是怎样处理的呢?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 211.20.119.223 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1678792691.A.0A8.html
1F:→ ddoll288: 想太多,这要病毒用chatGPT在用户端写程式才做得到 03/14 20:16
2F:→ ddoll288: 真的要建立机制,买server版防毒软体就好,有公司是这样做 03/14 20:17
3F:→ kikilalagirl: 拒绝 .tmp 副档名 上传 之类的作法 03/14 23:33
4F:推 Jerr: CSRF + tempnam() 稍微强化一下上传机制 03/15 11:40