[請益] 如何知道我的圖片上傳網站有沒有上傳漏洞

看板PHP作者 (red whale)時間7年前 (2017/03/11 15:15), 編輯推噓7(703)
留言10則, 7人參與, 最新討論串1/1
如題 我有個圖片上傳網站 前陣子有駭客用curl偽裝其檔案的content type之後上傳檔案上去 導致原本駭客上傳的「.php」副檔名的檔案 被駭客偽裝其content type之後,伺服器誤認格式為「image/jpeg」 讓駭客成功植入php檔案至我的伺服器上 現在我只允許上傳「.jpg」「.gif」「.png」「.bmp」為後綴的檔案 不曉得這樣還防不防的了駭客的攻擊? 請問我該怎麼知道我的「圖片上傳網站」是否還存在上傳漏洞? 如何檢測? 以及像上面 我「只允許上傳某些後綴(某些特定副檔名)的檔案」是不是就能防止駭客植 入PHP檔案? 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.138.105.228 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1489216542.A.C1B.html
03/11 18:03, , 1F
gd2,imagemagick,getimagesize,.....etc
03/11 18:03, 1F
03/11 19:00, , 2F
把上傳的圖檔放在站台外
03/11 19:00, 2F
03/12 12:28, , 3F
關閉上傳目錄的程式碼執行權限 http://bit.ly/2meFqvF
03/12 12:28, 3F
03/13 23:44, , 4F
檢查MIME Type
03/13 23:44, 4F
03/14 01:51, , 5F
呃, 他開頭就說了惡意上傳偽裝了 MIME type...
03/14 01:51, 5F
03/14 02:00, , 6F
finfo 比較穩當.
03/14 02:00, 6F
03/14 02:04, , 7F
https://goo.gl/XH0JDw 第一則就打我臉了. 請直接用gd check
03/14 02:04, 7F
03/23 17:14, , 8F
https://goo.gl/8FQh2g 推薦可以看一下
03/23 17:14, 8F
03/23 17:17, , 9F
看一下 case 6
03/23 17:17, 9F
03/23 17:18, , 10F
and Suggested Solution
03/23 17:18, 10F
更多 red0whale 的文章
文章代碼(AID): #1OmwGUmR (PHP)