BLOG ENTRY
書籍からの情報を元に、ファイルアップロード時の付加情報を偽造し、不正なファイルをアップロードする攻撃の対策方法(PHP)をメモ。
対策1が最善。画像については対策2でも代用可能。
1、ファイル保存場所の非公開化
アップロードファイルの保存先を公開フォルダの外に出す。なんらかの理由で公開フォルダの外が利用できない場合にはファイル名を拡張子のないランダムなものに変更して保存する。アップロードファイルへのアクセスについては、別途、転送スクリプトを書く。
2、拡張子ホワイトリスト法
$_FILES['name']から拡張子を得て、許可されたもののみアップロードを許可する。
詳しいことはPHPサイバーテロの技法
その他14種類の脆弱性についてはこちらで一覧確認できます。
No related posts.
comments(1)
DATE2008.04.26
[...] 12 => ファイルアップロード攻撃 , [...]
type:ピンバック [ ]
MENU
