极客观点
项目管理
HarmonyOS
给政府部门做了一套管理系统,后来要求我们整改安全隐患问题。其中一点要求限制用户上传的文件名中不能包含特殊字符。
那真有这种通过上传的文件攻击服务器的可能么?
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
员工电脑装了公司内部的证书,那么通过公共wifi可以拦截并解密用户的微信信息吗?
员工电脑装了公司内部的证书,那么通过公司的公共wifi可以拦截并解密用户的微信信息吗?1 回答1.6k 阅读✓ 已解决
日志中有很多同IP段的IP,怎么快速判断是否蜘蛛、恶意机器人?
114.250.43.82114.250.44.141114.250.44.35114.250.48.177114.250.48.18114.250.48.84114.250.49.134114.250.49.162114.250.49.2114.250.49.44114.250.49.86114.250.49.91114.250.50.110114.250.50.144114.250.50.43114.250.51.102114.250.51.105114.250.51.112114.250.51.115114.250.51.12114.250.51.125114.250.51.149...1 回答3k 阅读
请问,有公司安装监控软件的同学,360安全卫士可以扫描到你们的监控软件吗?
请问,有公司安装监控软件的同学,360安全卫士可以扫描到你们的监控软件吗?可以卸载掉吗?1 回答1.1k 阅读
企业监控员工电脑,通常用什么方案或者原理?
企业监控员工电脑,通常用什么方案或者原理?987 阅读
ECC加密:能否用异或代理加法来加密明文?
ECC加密中,能不能用异或代理加法对明文加密?Q=td,Q是公钥,t是私钥,d是基点,明文m,选择随机数r一般情况: {代码...} 能否改成: {代码...} 使用原有方式不能满足一些特殊要求,能不能使用异或的方式来加解密呢1 回答463 阅读
不必怀疑,“任意文件上传”是一种漏洞类型,对上传的文件加以限定是必要的。
上传的文件如果包含恶意代码,且在后端执行,往往会导致攻击者拿到 WebShell。
你可能会想,这与文件名有什么关系呢?有的。
首先是文件名中包含的代码也有可能被执行到。
其次,文件名中的特殊字符可能导致你的文件上传检查失效,例如 CVE-2015-2348。
回答者:
YvesX @ 创宇前端