[請益] 如何知道我的圖片上傳網站有沒有上傳漏洞

作者red0whale (red whale)

看板PHP

標題[請益] 如何知道我的圖片上傳網站有沒有上傳漏洞

時間Sat Mar 11 15:15:39 2017

如題我有個圖片上傳網站前陣子有駭客用curl偽裝其檔案的content type之後上傳檔案上去導致原本駭客上傳的「.php」副檔名的檔案被駭客偽裝其content type之後，伺服器誤認格式為「image/jpeg」讓駭客成功植入php檔案至我的伺服器上現在我只允許上傳「.jpg」「.gif」「.png」「.bmp」為後綴的檔案不曉得這樣還防不防的了駭客的攻擊？請問我該怎麼知道我的「圖片上傳網站」是否還存在上傳漏洞？如何檢測？以及像上面我「只允許上傳某些後綴(某些特定副檔名)的檔案」是不是就能防止駭客植入PHP檔案？謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.138.105.228 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1489216542.A.C1B.html

→ dinos: gd2,imagemagick,getimagesize,.....etc 03/11 18:03

推 et69523820: 把上傳的圖檔放在站台外 03/11 19:00

推 planetoid2: 關閉上傳目錄的程式碼執行權限 http://bit.ly/2meFqvF 03/12 12:28

推 lolikung: 檢查MIME Type 03/13 23:44

推 LPH66: 呃, 他開頭就說了惡意上傳偽裝了 MIME type... 03/14 01:51

推 alpe: finfo 比較穩當. 03/14 02:00

→ alpe: https://goo.gl/XH0JDw 第一則就打我臉了. 請直接用gd check 03/14 02:04

推 cjoe: https://goo.gl/8FQh2g 推薦可以看一下 03/23 17:14

推 cjoe: 看一下 case 6 03/23 17:17

→ cjoe: and Suggested Solution 03/23 17:18