[请益] 如何知道我的图片上传网站有没有上传漏洞 red0whale PTT批踢踢实业坊

[请益] 如何知道我的图片上传网站有没有上传漏洞

楼主: red0whale (red whale) 2017-03-11 15:15:39

如题
我有个图片上传网站
前阵子有骇客用curl伪装其档案的content type之后上传档案上去
导致原本骇客上传的“.php”副档名的档案
被骇客伪装其content type之后，服务器误认格式为“image/jpeg”
让骇客成功植入php档案至我的服务器上
现在我只允许上传“.jpg”“.gif”“.png”“.bmp”为后缀的档案
不晓得这样还防不防的了骇客的攻击？
请问我该怎么知道我的“图片上传网站”是否还存在上传漏洞？
如何检测？
以及像上面我“只允许上传某些后缀(某些特定副档名)的档案”是不是就能防止骇客植
入PHP档案？
谢谢

作者: dinos (守护神) 2017-03-11 18:03:00

gd2,imagemagick,getimagesize,.....etc

作者: et69523820 (小猪) 2017-03-11 19:00:00

把上传的图档放在站台外

作者: planetoid2 (planetoid) 2017-03-12 12:28:00

关闭上传目录的程式码执行权限 http://bit.ly/2meFqvF

作者: lolikung (干么查我?) 2017-03-13 23:44:00

检查MIME Type

作者: LPH66 (-6.2598534e+18f) 2017-03-14 01:51:00

呃, 他开头就说了恶意上传伪装了 MIME type...

作者: alpe (薛丁格的猫) 2017-03-14 02:00:00

finfo 比较稳当.https://goo.gl/XH0JDw 第一则就打我脸了. 请直接用gd check

作者: cjoe (TeA) 2017-03-23 17:14:00

https://goo.gl/8FQh2g 推荐可以看一下看一下 case 6and Suggested Solution

继续阅读

Re: [请益] 直接url存取档案能不能用参数保护?gpmm [请益] 直接url存取档案能不能用参数保护?sohumi [分享] OpenCart 老板都在这threeus [请益] 数据库里被删除的资料？tingmeow [请益] line Messaging API 开发hsinyu716 [请益] 比对多个字串samba Re: [请益] 要达到这些功能会太困难?gpmm [请益] 要达到这些功能会太困难?h84110405 [请益] 有方法直接打印doc文件吗LP9527 [请益] include进的档案改程式后却无更新answermangtr