一个动态的小程序要比静态的小程序漏洞更大,所以,廊坊小程序开发一般小程序静态都是静态页面,所以廊坊小程序开发的安全性能非常高,一般黑客根本进不去,下来廊坊小程序开发分享对动态小程序文件上传漏洞缺陷的解决方案。
许多小程序如论坛、同学录、邮件服务系统都提供了文件上传的功能,但设计者在设计用户提交参数缺少充分过滤,以至远程攻击者利用这个漏洞可以上传恶意文件,甚至造成系统数据库破坏或以Web权限在系统上执行任意命令。例如iXmail包含的\“ixmail_attach.php\”脚本对用户提交的附件缺少充分过滤,攻击者可以通过操作URL参数上传恶意文件(如php文件)到服务器上,虽然文件放置在web目录下的/tmp目录中,但可以远程访问,因此攻击者可能以web进程权限在系统上执行任意命令,故在文件上传之前,加入文件类型判断模块,并进行过滤。如要求用户上传图片时,对上传的文件格式进行判断,如果是指定的图片文件格式(如JPG、GIF)允许上传,其他格式诸如;*.EXE,*.PHP,*.AsP,*.JSP等可执行或可解释的程序文件就禁止上传。
