投稿
  1. 首页
  2. 服务器知识

文件上传漏洞原理是什么?

小夏2023-7-22服务器知识阅读53

文件上传漏洞原理是什么?,第1张

文件上传原理

文件上传的功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的能力,这就是文件上传漏洞。

文件上传漏洞高危触发点

相册、头像上传

视频、照片分享

附件上传(论坛发帖、邮箱)

文件管理器

存在文件上传功能的地方都有可能存在文件上传漏洞,比如相册、头像上传,视频、照片分享。论坛发帖和邮箱等可以上传附件的地方也是上传漏洞的高危地带。另外像文件管理器这样的功能也有可能被攻击者所利用值得注意的是,如果移动端也存在类似的操作的话,那么相同的原理,也存在文件上传漏洞的风险。

为了防御文件上传漏洞的产生,需要在服务端做严格的防护,因为浏览器、客户端传回的数据并不可信任。首先是第一道防线,文件类型检测,上传的文件需要经过严格的文件类型检测防止上传的文件是恶意脚本。

上传之后的文件要进行重命名。

如果上传的文件是图片类型,可以选择使用重绘图的方式对图片进行保存,但是这种方式会对服务端性能稍有影响

最后,文件上传的目录不可赋予可执行权限,可以使用BOS这样的云存储服务,当然最方便的还是使用BOS这样现成的云存储服务

途径:

1、复制拷贝:U盘、光驱、软驱、QQ、邮件等方法复制拷贝泄密,原理都是通过图档复制,云盾加密软件可以让图纸图档强制自动加密,这样就算拿走也打不开。

2、截屏录像:QQ、键盘、录像软件截屏录像泄密,原理都是通过屏幕截屏方式,而云盾加密软件有效的控制截屏,禁止相关程序,另外水印功能对手机拍照泄密有很好的威慑作用。

3、拆走硬盘:拆走硬盘后,由于客户端启动也要绑定电脑CPU,所以硬盘装上新电脑后,云盾加密软件无法启动,导致图纸无法打开。

4、盗走电脑:盗走主机或笔记本,系统在规定的时间内无法通过局域网连接上加密服务器,时间到期后,云盾加密进程拒绝启动,图纸图档无法打开。

5、打印带走:云盾加密软件控制图纸图档的打印权限,并对打印日志记录有保存,同时打印出来的资料标明的时间、公司名称、打印人等水印信息,确保了打印出来的资料的来源记录。

措施:

使用云盾加密软件,为您的核心数据加密守护!

1、内核加密:Windows内核底层驱动加密技术,文件在新建、编辑、保存各个阶段被自动强制加密,加密的文件在内部无密钥打开使用,无授权拷出打开乱码或打不开。

2、进程控制:智能效验码技术对受控进程进行识别,不依赖进程名和扩展名。同时对进程进行明文进程、密文进程、信任进程、禁止进程、自定义进程管理。

3、截屏控制:通过屏幕水印技术配置公司身份,给截屏、手机拍照、打印泄密带来威慑,同时可以禁止QQ、录像软件、键盘等截屏泄密。

打印管理:可以对指定的电脑禁止或允许打印。同时对打印的文件进行打印水印控制。

4、离线管理:离线控制技术可以在用户离线登陆、出差管理、离线管理等特殊情况授权使用时间控制,当主机或笔记本离开局域网环境后,系统在规定时间后,加密的文件无法打开。

5、外发控制:对于正常外发客户、供应商的文件可以做到次数时间认证限制,同时控制打印、截屏。

6、外设控制:控制U盘、光驱、软驱、红外、蓝牙、1394接入泄密

7、解密管理:正常授权解密方式:手工解密(手工右键点击文件解密)、流程解密(申请人发出解密流程申请解密)、邮件解密(设置信任邮箱,和foxmail、outlook集成解密)。

公司里的电脑内存储很多重要资料,对于企业来讲非常重要,一般都会安装专业的防泄密软件,这里推荐你一款域之盾,适合各企业使用,操作简单,实用性高,可针对各类日常办公/文字编辑/图片设计/图纸设计进行透明加密。

1. 透明加解密

系统根据管理策略对相应文件进行加密,用户访问需要连接到服务器,按权限访问,越权访问会受限,通过共享、离线和外发管理可以实现更多的访问控制。

2. 泄密控制

对打开加密文档的应用程序进行打印、内存窃取、拖拽和剪贴板等操作管控,用户不能主动或被动地泄漏机密数据。

3. 审批管理

支持共享、离线和外发文档,管理员可以按照实际工作需求,配置是否对这些操作进行强制审批。用户在执行加密文档的共享、离线和外发等操作时,将视管理员的权限许可,可能需要经过审批管理员审批。

4. 离线文档管理

对于员工外出无法接入网络的情况可采用系统的离线管理功能。通过此功能授权指定用户可以在一定时间内不接入网络仍可轻松访问加密数据,而该用户相应的安全策略仍然生效,相应数据仍然受控,文档权限也与联网使用一样。

5. 外发文档管理

本功能主要是解决数据二次泄密的威胁,目的是让发出的文档仍然受控。通过此功能对 需要发出的文件进行审批和授权后,使用者不必安装加密客户端即可轻松访问受控文件,且可对文件的操作权限及生命周期予以管控。

6. 审计管理

对加密文档的常规操作,进行详细且有效的审计。对离线用户,联网后会自动上传相关日志到服务器。

7. 自我保护

通过在操作系统的驱动层对系统自身进行自我保护,保障客户端不被非法破坏,并且始终运行在安全可信状态。即使客户端被意外破坏,客户端计算机里的加密文档也不会丢失或泄漏。

欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/649523.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
小夏小夏管理员组
00
上一篇 2023-07-22
下一篇2023-07-22

发表评论

登录后才能评论

评论列表(0条)

    保存