在上網的過程中,我們經常會将一些如圖檔、壓縮包之類的檔案上傳到遠端伺服器進行儲存。檔案上傳攻擊指的是惡意攻擊者利用一些站點沒有對檔案的類型做很好的校驗,上傳了可執行的檔案或者腳本,并且通過腳本獲得伺服器上相應的權利,或者通過誘導外部使用者通路、下載下傳上傳的病毒或木馬檔案,達到攻擊的目的。
為了防範使用者上傳惡意的可執行的檔案和腳本,以及将檔案上傳伺服器當作免費的檔案存儲伺服器使用,我們需要對上傳檔案類型進行白名單(非黑名單)校驗,并且限制上傳檔案的大小,上傳的檔案需要進行重新命名,使攻擊者無法猜測到上傳檔案的通路路徑。
對于上傳的檔案來說,不能簡單的通過字尾名來判斷檔案的類型,因為惡意攻擊可以将可執行檔案的字尾名改為圖檔或其他類型,誘導使用者執行。是以,判斷檔案類型需要使用更安全的方式。
很多類型的檔案,起始的幾個位元組内容是固定的,是以,根據這幾個位元組的内容,就可以确定檔案類型,這幾個位元組也被稱為魔數。
![網絡攻防技術(2021期末考試)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)