怎么防范文件上傳漏洞

文件上傳漏洞的防御方法如下：

• 文件上傳的目錄設置為不可執行。只要web容器無法解析該目錄下面的文件，即使攻擊者上傳了腳本文件，服務器本身也不會受到影響，因此這一點至關重要。

• 判斷文件類型。在判斷文件類型時，可以結合使用MIME Type、后綴檢查等方式。

• 單獨設置文件服務器的域名。由于瀏覽器同源策略的關系，一系列客戶端攻擊將失效，比如上傳crossdomain.xml、上傳包含Javascript的XSS利用等問題將得到解決。

• 使用安全設備防御。文件上傳攻擊的本質就是將惡意文件或者腳本上傳到服務器，專業的安全設備防御此類漏洞主要是通過對漏洞的上傳利用行為和惡意文件的上傳過程進行檢測。惡意文件千變萬化，隱藏手法也不斷推陳出新，對普通的系統管理員來說可以通過部署安全設備來幫助防御。

• 系統開發人員應有較強的安全意識，尤其是采用PHP語言開發系統。在系統開發階段應充分考慮系統的安全性。

• 系統上線后運維人員應有較強的安全意思，積極使用多個安全檢測工具對系統進行安全掃描，及時發現潛在漏洞并修復。

• 定時查看系統日志，web服務器日志以發現入侵痕跡。定時關注系統所使用到的第三方插件的更新情況，如有新版本發布建議及時更新，如果第三方插件被爆有安全漏洞更應立即進行修補。

• 對于整個網站都是使用的開源代碼或者使用網上的框架搭建的網站來說，尤其要注意漏洞的自查和軟件版本及補丁的更新，上傳功能非必選可以直接刪除。除對系統自生的維護外，服務器應進行合理配置，非必選一般的目錄都應去掉執行權限，上傳目錄可配置為只讀。

回答所涉及的環境：聯想天逸510S、Windows 10。