gpt4 book ai didi

安全测试 - 如何测试恶意上传文件上传功能

转载 作者:行者123 更新时间:2023-12-05 05:22:16 26 4
gpt4 key购买 nike

需要测试文件上传功能以确保安全。
目的是避免/阻止上传任何类型的恶意文件。

谢谢!!

最佳答案

文件上传/下载通常会出现多个漏洞。

上传文件中的恶意软件

任何上传的文件都应该进行病毒检查。正如@CandiedOrange 回应的那样,您可以为此目的使用 EICAR 测试。

路径注入(inject)

上传文件的文件名是与请求中任何其他字段相同类型的用户输入,攻击者可以自由选择文件名。作为测试人员,您可以发送类似“../filename”的内容来尝试将其保存到非预期位置或覆盖其他文件。

文件类型

如果文件类型限制只在客户端,那显然对安全毫无用处。但即使文件扩展名在服务器端受到限制,比如只允许 .pdf,您仍然可以尝试上传 something.pdf.php 或 something.pdf.exe 或类似文件来绕过过滤器。最好是应用程序使用一些真实的内容发现来查明上传的文件是否实际上是允许的文件类型。

内容嗅探

一些浏览器有这个很棒的(不是)功能,当一个文件被下载时,浏览器会查看它的内容并根据内容显示它,而不管从服务器接收到的内容类型头。这意味着即使上传仅限于 .pdf,攻击者也可能会在名为“something.pdf”的文件中上传带有 javascript 的 html 文件,当其他人下载该文件时,浏览器可能会运行 javascript,从而使应用程序易受 XSS 攻击。为防止这种情况,应用程序应发送 X-Content-Type-Options: nosniff 响应 header 。

上传的文件大小

如果攻击者可以上传太多或太大的文件,他可能会通过填满服务器上的空间来实现拒绝服务。

无限制下载(直接对象引用)

应用程序可能会将上传的文件保存到网络服务器可直接访问的位置。在这种情况下,下载链接看起来类似于 /uploads/file.pdf。这只适用于公共(public)文件,不能强制执行访问控制,任何知道链接的人都可以下载该文件。

缺乏访问控制

如果并非所有登录用户都可以使用文件,则应用程序必须执行授权以决定登录用户是否可以实际下载他所请求的文件。太多次此授权步骤缺失或存在缺陷,导致应用程序能够向巧妙修改请求的用户提供错误的文件。

所以底线是,文件上传/下载漏洞不仅仅是病毒检查上传的文件。

关于安全测试 - 如何测试恶意上传文件上传功能,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40944221/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com