什么是文件屏蔽

文件屏蔽是文件服務器中的重要功能，部署文件服務器之后，即可使用該功能限制用戶向文件服務器寫入的文件類型。任何用戶將限制類型的文件寫入目標文件夾時，將出現“目標文件夾訪問被拒絕”被拒絕信息。文件屏蔽的主要目的，是限制非法授權文件寫入定義的文件夾。文件屏蔽還可以大大解決文件上傳漏洞造成的影響，從而防御文件上傳漏洞。文件屏蔽是文件服務器的可選功能之一，用戶可以根據需求選擇安裝。

預防文件上傳攻擊方法有以下這些：

• 文件上傳的目錄設置為不可執行：最有效的，將文件上傳目錄直接設置為不可執行，對于Linux而言，撤銷其目錄的’x’權限；實際中很多大型網站的上傳應用都會放置在獨立的存儲上作為靜態文件處理，一是方便使用緩存加速降低能耗，二是杜絕了腳本執行的可能性。

• 判斷文件類型：在判斷文件類型時，可以結合使用MIME Type、后綴檢查等方式。在文件類型檢查中，強烈推薦白名單方式，黑名單的方式已經無數次被證明是不可靠的。此外，對于圖片的處理，可以使用壓縮函數或者resize函數，在處理圖片的同時破壞圖片中可能包含的HTML代碼

• 使用隨機數改寫文件名和文件路徑：文件上傳如果要執行代碼，則需要用戶能夠訪問到這個文件。在某些環境中，用戶能上傳，但不能訪問。如果應用了隨機數改寫了文件名和路徑，將極大地增加攻擊的成本。再來就是像shell.php.rar.rar和crossdomain.xml這種文件，都將因為重命名而無法攻擊。

• 單獨設置文件服務器的域名：由于瀏覽器同源策略的關系，一系列客戶端攻擊將失效，比如上傳crossdomain.xml、上傳包含Javascript的XSS利用等問題將得到解決

• 定期進行漏洞掃描：定期對服務器進行安全漏洞掃描，及時發現服務器內部存在的漏洞，并將這些漏洞進行修補，防止攻擊者利用這些漏洞實施攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。