作者red0whale (red whale)
看板PHP
标题[请益] 如何知道我的图片上传网站有没有上传漏洞
时间Sat Mar 11 15:15:39 2017
如题
我有个图片上传网站
前阵子有骇客用curl伪装其档案的content type之後上传档案上去
导致原本骇客上传的「.php」副档名的档案
被骇客伪装其content type之後,伺服器误认格式为「image/jpeg」
让骇客成功植入php档案至我的伺服器上
现在我只允许上传「.jpg」「.gif」「.png」「.bmp」为後缀的档案
不晓得这样还防不防的了骇客的攻击?
请问我该怎麽知道我的「图片上传网站」是否还存在上传漏洞?
如何检测?
以及像上面 我「只允许上传某些後缀(某些特定副档名)的档案」是不是就能防止骇客植
入PHP档案?
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 101.138.105.228
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1489216542.A.C1B.html
1F:→ dinos: gd2,imagemagick,getimagesize,.....etc 03/11 18:03
2F:推 et69523820: 把上传的图档放在站台外 03/11 19:00
4F:推 lolikung: 检查MIME Type 03/13 23:44
5F:推 LPH66: 呃, 他开头就说了恶意上传伪装了 MIME type... 03/14 01:51
6F:推 alpe: finfo 比较稳当. 03/14 02:00
9F:推 cjoe: 看一下 case 6 03/23 17:17
10F:→ cjoe: and Suggested Solution 03/23 17:18