PTT
Submit
Submit
选择语言
正體中文
简体中文
PTT
PHP
[请益] 如何知道我的图片上传网站有没有上传漏洞
楼主:
red0whale
(red whale)
2017-03-11 15:15:39
如题
我有个图片上传网站
前阵子有骇客用curl伪装其档案的content type之后上传档案上去
导致原本骇客上传的“.php”副档名的档案
被骇客伪装其content type之后,服务器误认格式为“image/jpeg”
让骇客成功植入php档案至我的服务器上
现在我只允许上传“.jpg”“.gif”“.png”“.bmp”为后缀的档案
不晓得这样还防不防的了骇客的攻击?
请问我该怎么知道我的“图片上传网站”是否还存在上传漏洞?
如何检测?
以及像上面 我“只允许上传某些后缀(某些特定副档名)的档案”是不是就能防止骇客植
入PHP档案?
谢谢
作者:
dinos
(守护神)
2017-03-11 18:03:00
gd2,imagemagick,getimagesize,.....etc
作者:
et69523820
(小猪)
2017-03-11 19:00:00
把上传的图档放在站台外
作者: planetoid2 (planetoid)
2017-03-12 12:28:00
关闭上传目录的程式码执行权限
http://bit.ly/2meFqvF
作者:
lolikung
(干么查我?)
2017-03-13 23:44:00
检查MIME Type
作者:
LPH66
(-6.2598534e+18f)
2017-03-14 01:51:00
呃, 他开头就说了恶意上传伪装了 MIME type...
作者:
alpe
(薛丁格的猫)
2017-03-14 02:00:00
finfo 比较稳当.
https://goo.gl/XH0JDw
第一则就打我脸了. 请直接用gd check
作者:
cjoe
(TeA)
2017-03-23 17:14:00
https://goo.gl/8FQh2g
推荐可以看一下看一下 case 6and Suggested Solution
继续阅读
Re: [请益] 直接url存取档案能不能用参数保护?
gpmm
[请益] 直接url存取档案能不能用参数保护?
sohumi
[分享] OpenCart 老板都在这
threeus
[请益] 数据库里被删除的资料?
tingmeow
[请益] line Messaging API 开发
hsinyu716
[请益] 比对多个字串
samba
Re: [请益] 要达到这些功能会太困难?
gpmm
[请益] 要达到这些功能会太困难?
h84110405
[请益] 有方法直接打印doc文件吗
LP9527
[请益] include进的档案 改程式后却无更新
answermangtr
Links
booklink
Contact Us: admin [ a t ] ucptt.com