我的网络服务器中有一个文件夹,供用户使用 ASP 页面上传照片。
授予 IUSR 对该文件夹的写权限是否足够安全?我必须确保其他东西吗?
怕黑客绕过ASP页面,直接上传内容到文件夹。
我在 Windows 2003 Server 上使用 ASP classic 和 IIS6。上传是通过 HTTP,而不是 FTP。
编辑:为清楚起见更改问题并将我的答案更改为评论。
最佳答案
此外,我建议不要让用户上传到可从网络访问的文件夹中。即使是最好的 MIME 类型检测也可能会失败,并且您绝对不希望用户上传伪装成 jpeg 的可执行文件,以防您的 MIME 嗅探失败,但 IIS 中的嗅探工作正常。
在 PHP 世界中情况更糟,因为攻击者可以上传恶意的 PHP 脚本,然后通过网络服务器访问它。
始终,始终将上传的文件存储在文档根目录之外的某个目录中,并通过一些执行额外清理的访问脚本访问它们(并且至少明确设置图像/任何 MIME 类型。
关于security - 如何保护用于让用户上传文件的文件夹?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22519/