我的网站正在接受安全审核以获得安全认证。经过审计,他们给了我两个安全问题。
存储的跨站点脚本:应用程序必须为所有用户输入的输入实现服务器端验证。只接受预期值。脚本标签应该被拒绝。应对所有用户输入进行清理。
恶意文件上传
我在Joomla全局配置文本过滤器中添加了at过滤器标签。虽然我已经明确声明所有文件上传元素只使用.jpg,.jpeg,.png扩展名,但我仍然可以上传.php扩展文件。
我们如何纠正这两个问题?
此致
答案 0 :(得分:0)
使用defines.php文件在POST数据到达Joomla站点之前清除它,并阻止包含$ _FILES的任何请求。
如果您的网站需要允许用户上传文件,请确保这些文件仅包含特定的文件类型,如果您不需要外部世界来访问这些文件,则阻止访问这些文件文件(在您上传到的文件夹中)使用htaccess规则。