作者czchen (我心因何惱春風)
看板PHP
標題[請益] 被上傳檔案的安全性問題
時間Tue Mar 14 19:18:09 2023
想請問一個問題,就是我做的系統是有上傳功能的....不能把上傳完全停掉....
這樣是不是駭客在client端強制發出form上傳檔案請求,server端這邊就一定會接下來
放到tmp資料夾的.tmp檔案?
因為防毒軟體時不時就偵測到有web shell感染的.tmp檔躲在tmp資料夾,
初步猜測好像沒有危險,但是tmp資料夾常常被傳入web shell的暫存檔觸發警報又非常
困擾。
一般面對這種問題是怎樣處理的呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 211.20.119.223 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/PHP/M.1678792691.A.0A8.html
1F:→ ddoll288: 想太多,這要病毒用chatGPT在用戶端寫程式才做得到 03/14 20:16
2F:→ ddoll288: 真的要建立機制,買server版防毒軟體就好,有公司是這樣做 03/14 20:17
3F:→ kikilalagirl: 拒絕 .tmp 副檔名 上傳 之類的作法 03/14 23:33
4F:推 Jerr: CSRF + tempnam() 稍微強化一下上傳機制 03/15 11:40