[請益] 被上傳檔案的安全性問題

看板PHP作者 (我心因何惱春風)時間1年前 (2023/03/14 19:18), 編輯推噓1(103)
留言4則, 3人參與, 1年前最新討論串1/1
想請問一個問題,就是我做的系統是有上傳功能的....不能把上傳完全停掉.... 這樣是不是駭客在client端強制發出form上傳檔案請求,server端這邊就一定會接下來 放到tmp資料夾的.tmp檔案? 因為防毒軟體時不時就偵測到有web shell感染的.tmp檔躲在tmp資料夾, 初步猜測好像沒有危險,但是tmp資料夾常常被傳入web shell的暫存檔觸發警報又非常 困擾。 一般面對這種問題是怎樣處理的呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 211.20.119.223 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1678792691.A.0A8.html

03/14 20:16, 1年前 , 1F
想太多,這要病毒用chatGPT在用戶端寫程式才做得到
03/14 20:16, 1F

03/14 20:17, 1年前 , 2F
真的要建立機制,買server版防毒軟體就好,有公司是這樣做
03/14 20:17, 2F

03/14 23:33, 1年前 , 3F
拒絕 .tmp 副檔名 上傳 之類的作法
03/14 23:33, 3F

03/15 11:40, 1年前 , 4F
CSRF + tempnam() 稍微強化一下上傳機制
03/15 11:40, 4F
文章代碼(AID): #1a45Vp2e (PHP)
文章代碼(AID): #1a45Vp2e (PHP)