本文详细介绍了如何通过系统设计授权和严格输入检测来防御webShell漏洞,包括隔离上传目录、控制目录权限、自定义文件名及路径等措施,确保上传文件的安全。
最近公司产品在现场发现了一个名叫webShell的漏洞, 也不知道它是用什么软件检测出来的。但是总得解决啊,就在网上搜有关资料,发现关于这些漏洞方面的还挺有意思的。下面是搜索网上找到的一些解决办法。
-
让保存上存目录独立开来,目录权限只读不能执行
这一步从系统设计加以授权,无论你上次什么文件,都不可能执行到。就算我不做任何检测,你的文件都上存到这里了,也不会对我系统构成安全。(如果有用户上存一些反动言语的图片,那另外需要处理的)
-
不直接使用服务器传入值,所有都要进行检测
这类跟我们做一切输入都是有害原则一样,对于客户端传入的:type, name ,都要进行判断,不直接使用。对于要生成到某个目录,某个文件名。
文件名最好方法是:自己写死目录(不要读取传入目录),文件名,最好自己随机生成,不读取用户文件名。文件扩展名,可以取最右边”.”后面字符。
以上2个方法,刚好从2个方面对上存做了整体约束。
方法2 : 保存上存文件名,按照自己指定目录写入,并且文件名自己生成的。
方法1:只要保证文件写对了位置,然后从配置上,对写入目录进行权限控制,这个是治本。可以做到,你无论上存什么文件,都让你没有权限跳出去可以运行。
以上2个方法,一起使用,可以保证文件正确存到地方,然后,权限可以控制。 这里顺便说明下, 判断用户上存文件是否满足要求类型,就直接检查文件扩展名,只要满足扩展名就让上存。 反正,做了执行权限限制,你不按要求上存内容,也无妨。 反正,不能执行,也不会有多大危害性的。
- 正确步骤:
1.读取文件名,验证扩展名是不是在范围内
2.自己定义生成的文件名,目录,扩展名可以来自文件名扩展名。 其它值,都自己配置,不读取上存中内容
3.将文件 移到新目录(这个目录权限设置只读)
转载于:https://www.cnblogs.com/chengmo/archive/2013/06/05/php-5.html
一些其他常规漏洞和解决办法:https://blog.youkuaiyun.com/qq_32434307/article/details/82148546
扫一扫
3900
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
