文件上传漏洞防御——图片写马的剔除

查看新图片的内容，会发现新生成的图片文件没有了绑定的一句话木马，算是成功去掉了图片写马了吧。

paper中说到了对于这种重新生成图片的防御方法，也有两种攻击方式

1. 利用数据二义性，构造符合图像数据格式的木马代码，在paper中只是个思路，不知道现在能不能正确构造出来这样的图像文件

2. 利用溢出,攻击生成新图片的函数，至于什么样的恶意图片会使得这个函数溢出，就不清楚了，希望大牛门指导

总结一下，对于文件上传的防御，做好以下几点，就投入与收益来看，应该足够了吧

1. 客户端初步检测文件大小，文件扩展名，文件类型

2. 服务端检测文件大小，文件扩展名(为了避免麻烦，可以替换上传文件的文件名，就是将文件路径与文件名都写死)，文件类型

3.服务端根据用户图片生成新的图片存储到数据库

【编辑推荐】

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!