___________________________________________信息记录材料2021年5月第22卷第5期(信息:理论与观点〕计算机网络安全中文件上传漏洞及防御措施
孙志成
(河北工业职业技术学院河北石家庄050091)
【摘要】由于Web技术的迅猛发展,Web系统功能愈加丰富多彩,功能的完善意味着这些网站安全问题的突出。随着网络的快速发展,有关Web安全的问题开始逐渐增加,例如个人信息和资料的泄露、黑客对网络用户的攻击、欺诈和,都会对人们的生活造成一些影响。而本文主要描述文件上传中的漏洞,也是黑客众多攻击手段中使用频次较高的一
种Web漏洞。所以为了应对这种攻击,我们需要做足够的准备。
【关键词】Web安全;文件上传;网络防护
【中图分类号1TP393【文献标识码】A【文章编号】1009-5624(2021)05-0057-02
1引言
在日常可访问的Web网页中,文件上传是一个很常见的功能:例如发布照片、提交报告、上传文档等情况时,都会涉及到文件上传功能。而如果Web服务端并没有对用户提交的数据进行严格过滤,导致包含有恶意代码的文件被上传并执行,即说明此处功能含有文件上传漏洞。文件上传漏洞是Web系统上的一个比较经典的漏洞。进行攻击的技术要求不高,产生的后果却可能会很大,比如通过上传一个WebSHELL类型的文件并成功触发后,有可能会直接得到类似shell的命令执行方法甚至获取系统的操作权限;如果Web程序是通过root用户启动的,也许一次攻击即可获得系统的最高权限。因此对于文件上传漏洞的防御,值得我们进行深入的研究。
2攻击手段
对于不同的操作系统或不同的Web容器来说,操作命令、文件系统、文件类型都有所区别,所以攻击的细节也有所不同。但通常来说,针对此类型漏洞,攻击者的攻击过程是类似的,一般分为三个步骤。
(1)通过文件上传功能,上传包含有恶意代码的文件。此处的文件通常为木马文件,这一步骤主要是通过大量的异常文件上传,判断出Web端对于文件所做的过滤,然后绕过这些防御措施,将木马文件成功上传至目标服务器。
(2)通过浏览器的元素探测功能,或通过网络抓包,探知上传的文件保存在Web服务器的具体位置,此处并不需要精确的绝对路径,只需要获得能直接访问到木马文件的URL地址即可进行下一步攻击。常见的
获取路径的方法也有下载已正常上传的文件,通过抓取数据包来确定服务器上存放上传文件的目录路径,再和木马文件的文件名组合出URL,即可进行下一步操作[1]。
(3)通过URL向已确定具体位置的木马文件传递参数,触发木马文件执行,进行攻击。此步骤对于参数的传递,视不同的木马文件而有所区别。此外,不同类型的Web容器,可解析的文件类型也是不相同的。
3防御方法
对于此漏洞的防御措施,可以有针对性地通过上述三个攻击步骤展开。
3.1对上传文件进行校验检测
Web服务器收到客户端发出的上传文件请求时需要判断文件是否符合检测要求需要限制上传文件的大小,以保护Web服务器的磁盘可用空间。需要检测检测上传文件名是否包含非法字符;特别是“../”一类的字符,防止文件被传至目标服务器保存文件的上一层路径,甚至替换掉系统文件。需要检测文件的后缀名,以防止将“.exe”“.asp”“.php”等类型的文件上传至服务器。需要检测文件类型,主要是检测客户端请求头中的content-type字段,可以过滤掉如“application/ x-msdownload”“text/asp”等类型的文件。需要检测文件头的内容,根据文件特征码再次判断文件类型。
需要注意的是,对于上传文件的校验检测,在Web客户端和Web服务端均可以实施。理想的方式是前端
和后端都进行所有的检测。若校验项过多,可能导致前端性能方面压力较大,可以只在前端进行相对简单的校验,例如文件大小和文件名的检测。而客户端校验通过后,服务端依然要进行该项校验,目的是防止客户端向服务端进行网络传输的过程中有数据包被拦截并修改,导致客户端发出的数据包和服务端收到的数据包并不一致[2-3]。
在这些检测中,黑名单的检验可靠性并不高。例如对文件名后缀的校验,比较容易通过字母大小写的组合通过Web系统的黑名单检查。而对于文件类型的校验,也可以通过类似的手段规避掉黑名单检查。所以在需要有校验的地方,尽量使用白名单,这样可以尽量规避由使用黑名单带来的风险。
3.2隐藏文件上传的路径
攻击者上传木马文件后,若要通过此木马进行攻击,需要先确定文件在Web服务器上的路径。因此在文件成功上传后,服务端不应该暴露出该文件所在的路径,即URL 地址。例如上传文件完成后,Web界面上不应该显示出此文件上传到了哪个路径;若上传后的文件可以被下载,应该注意下载的请求或响应数据包不能带有文件的真实路径;若文件可以在Web界面上展示,应该注意网页的源代码不能暴露文件的相对或绝对路径,以防止攻击者通过浏览器的开发者选项或网络抓包探测到文件的地址信息。此外,文件上传后最好可以通过服务器将其随机改名;即使攻击
57
〔信息:理论与观点〕信息记录材料2021年5月第22卷第5期____________________________________________
试论当下计算机网络安全现状及对策
范清永
(龙胜各族自治县公安局互联网信息安全中心广西桂林541799)
【摘要】伴随着时代的不断发展,国内社会生产逐渐进入到了全面信息化时代,具体表现为社会生产生活的各个环节,都开始应用计算机信息技术,通过此项技术的合理应用,整个生产工作开展的质量水平,得到了明显提升,因此注重计算机信息技术的应用,也就显得较为重要。要想确保计算机信息技术得到最为理想的运用,就需要做好计算机网络安全的现状研究,并且针对存在的实际情况,给出有针对性的应对措施。
【关键词】计算机网络;安全现状;应对措施;全面分析
【中图分类号】TP393【文献标识码】A【文章编号】1009-5624(2021)05-0058-02
1引言
计算机网络安全现状研究工作,对于社会生产生活工作开展的意义极为明显,只有明确了解当前情况下计算机网络安全现状情况,才能有条不紊地指引后续工作的开展。但是在对计算机网络安全现状展开调查时,有关人员明确了解到,计算机网络安全的现状还存在较大的问题,这些问题直接影响着计算机网络安全的质量水平,所以需要采取有针对性的对策,来展开科学合理的操作。
2有关计算机网络安全的现状情况研究
在长期的实践研究中发现,整个网络系统安全的现状,主要存在一定程度上的问题,这些问题主要集中表现在以下方面。
2.1计算机病毒问题
计算机病毒的定义,主要指的是一种能够自我复制的计算机指令,或程序代码,它能够通过在计算机程序当中插入或编制等方式,来有效破坏计算机功能或毁坏数据,如此也就直接降低了计算机网络的效力与作用,并且还导致计算机系统直接出现瘫痪,计算机系统当中的诸多功能都不能得到较为理想化的应用。从另一个方面展开分析,我们能够清楚地了解到,当下越来越多的计算机病毒都活跃在了计算机网络上,人们常常使用的信息软件等设备,或多或少都可能携带一定的病毒,这样也就为人们的正常工作埋下了较大的隐患,造成了直接的威胁,有关人士需要采取措施,予以科学化的重视与把握。
2.2人为恶意攻击的问题
从某些方面来讲,人为因素的恶意攻击是当下计算机网络所面临的最大威胁,所以也就需要得到广大工作人员的高度重视。通常情况下来讲,人为层面的恶意攻击主要分为两种模式,即黑客攻击以及计算机犯罪模式,它们将会以各种方式来选择式地破坏网络为主的模式,通过截获、窃取以及破译的模式,来有针对性地获取非法利益[1]。需要注意的是,计算机软件公司的设计工作人员,往往会为了工作开展的方便性,而设置出相应的特殊后门,但是这些特殊的后门同样也就成为了不法分子肆意攻击的首要目标,所以在后续制定对策的过程当中,需要采取有针对性的措施,来解决这一问题。
前端大文件上传解决方案
3有关当下计算机网络安全问题的解决对策分析通过前文内容的研究,能够从中明确了解到计算机网络所存在的安全问题较为严重,因此为了能够有效地解决这样的问题,需要制定出科学有效的对策,如此才能真正有效的解决存在问题。
3.1注重从根本上把握安全隐患问题的处理要点
有关人员在制定对策解决计算机网络安全问题的时候,最为重要的便是注重从根本上有效地杜绝网络安全隐
者探测到了文件的路径信息,依然难以确定其精确的访问地址[4]o
3.3将上传后的文件设置为不可执行
以Linux服务器为例,修改文件上传目录的权限,将其设置为不可执行,这样可以防止攻击者访问该目录下的文件。既然不可访问,自然也就无法触发木马文件。也可以通过上传时渲染文件的方式,例如文件压缩、加密等方法修改文件的内容,使文件中的代码不可以被执行,也可以达到相同的效果。
4结语
本文主要介绍了文件上传漏洞的产生原因、一般的攻击手段,也提出了比较有效的防御方法,以帮助网站开发者可以很大程度降低此漏洞的安全风险。然而世界上并没有绝对安全的系统,开发者和用户都需要在平时注意使用规范,将安全风险降到最低。
【参考文献】
[1]谭彬,杨明,梁业裕,等.Web安全漏洞研究和防范[J].通信技术,2017,50(4):795-802.
[2]宁双.WEB常见漏洞危害及修复建议[J].计算机与网络,2017,43(12):58-60.
[3]阳广涛,李爱华,李帛航,等.Web漏洞风险扫描技术研究[J].电子世界,2020(3):203-204.
[4]李源.Web漏洞及安全性探析[J].信息系统工程,2019(1):76.
作者简介:孙志成(1979-),男,山东冠县,硕士,讲师,研究方向:计算机网络技术。
58

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。