不受限制的文件上传

high Web App Scanning 插件 ID 114283

语言：

简介

不受限制的文件上传

描述

当应用程序遭遇上传至其文件系统时缺少文件验证的问题时，会出现不受限制的文件上传漏洞。当攻击者能够上传在名称、类型、内容或大小方面与应用程序预期不匹配的文件时，可导致各种问题，例如任意文件覆盖、拒绝服务甚至远程代码执行。

请注意，您需要在扫描配置中启用“文件上传”评估选项才能使用此插件。

解决方案

确保已对正在上传的文件应用所有控制措施：- 实施已接受文件扩展名的允许列表，并确保无法绕过该列表。- 确保上传的文件的权限设为严格最低限度，并防止执行。- 确保文件名不包含任何可由写入文件的函数用作目录遍历模式的子字符串。- 重命名上传的文件以避免覆盖本地系统文件。- 确保文件大小在可接受范围内且不过大，以避免在使用云服务时因磁盘空间消耗或计费过多而导致服务中断。