读取文件与执行文件一样危险

Question

在Perl中，如果允许将任何文件类型上传到服务器（而不是在web根目录中）并因此下载，这是否有危险？它没有被执行，而是被读作二进制文件。

Answer 1

我将重申@ ThisSuitIsBlackNo的文件上传安全注意事项链接......

• Unrestricted File Upload Vulnerabilities
• Complete File Upload Vulnerabilities根本不完整，但包含一些很好的例子。
• CWE-434: Unrestricted Upload of File with Dangerous Type
• 8 Basic Rules to Implement Secure File Uploads

这些可以归结为......

• 您服务器的危险
  • 注入服务器将执行的特殊文件或文件扩展名。
    • .htaccess（每个目录的Apache配置文件）
    • .php，.asp，.cgi等......
  • 在下载目录外注入系统文件。
    • / etc / passwd或../../../../ etc / passwd
  • 利用处理库中的缺陷
    • 图片调整大小
    • XML / JSON解析
  • SQL注入攻击
    • 文件名
    • 文件元数据
  • 壳牌注射攻击
    • 文件名
  • 缓冲区溢出
    • 文件大小
    • HTTP上传大小
    • 文件名大小
    • 目录深度
  • 填写磁盘拒绝服务
• 对他人的危险
  • 网络钓鱼攻击
    • 上传恶意的.html文件，使其显示网址来自您的（受信任）主机。
    • 上传恶意的.js文件，并从您域中的其他位置（可能是论坛帖子）引用它来规避XSS攻击防御。
  • 将您的服务用作匿名攻击媒介
    • BOTnet控制文件
    • 包括种子的盗版文件
    • 勒索或骚扰目的的个人数据
    • 特洛伊木马/病毒文件