※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-03-16 17:25:06
看板 PHP
作者 標題 [請益] 如何知道我的圖片上傳網站有沒有上傳漏洞
時間 Sat Mar 11 15:15:39 2017
如題
我有個圖片上傳網站
前陣子有駭客用curl偽裝其檔案的content type之後上傳檔案上去
導致原本駭客上傳的「.php」副檔名的檔案
被駭客偽裝其content type之後,伺服器誤認格式為「image/jpeg」
讓駭客成功植入php檔案至我的伺服器上
現在我只允許上傳「.jpg」「.gif」「.png」「.bmp」為後綴的檔案
不曉得這樣還防不防的了駭客的攻擊?
請問我該怎麼知道我的「圖片上傳網站」是否還存在上傳漏洞?
如何檢測?
以及像上面 我「只允許上傳某些後綴(某些特定副檔名)的檔案」是不是就能防止駭客植
入PHP檔案?
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.138.105.228
※ 文章代碼(AID): #1OmwGUmR (PHP)
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1489216542.A.C1B.html
→ : gd2,imagemagick,getimagesize,.....etc1F 03/11 18:03
推 : 把上傳的圖檔放在站台外2F 03/11 19:00
推 : 檢查MIME Type4F 03/13 23:44
推 : 呃, 他開頭就說了惡意上傳偽裝了 MIME type...5F 03/14 01:51
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 184
作者 red0whale 的最新發文:
- 14F 4推
- 10F 4推
- 62F 21推 11噓
![]()
我們家養了幾隻柴柴 其中一隻已經邁入高齡 於是我就問我爸如果哪天我們家的那隻柴柴走了該怎麼辦? 結果我爸居然跟我說「直接丟垃圾車就好了」 我聽到有點震驚也有點難過,甚至有點憤怒 各位有養寵物的 如果 …379F 184推 13噓- 13F 4推 1噓
點此顯示更多發文記錄
回列表(←)
分享