Kuinka estää tiedostojen lataamisen haavoittuvuudet

Kuinka estää tiedostojen lataamisen haavoittuvuudet
Kaltaisesi lukijat auttavat tukemaan MUO:ta. Kun teet ostoksen käyttämällä sivustollamme olevia linkkejä, voimme ansaita kumppanipalkkion. Lue lisää.

Tiedostojen latausmoduulit ovat yksi verkkosovellusten heikoimmista lenkeistä. Kaikki tehdyt virheet, jopa ne, joita pidät pieninä, voivat johtaa palvelimen hallintaan suoraan kyberhyökkääjän käsiin. Tästä syystä ohjelmistokehittäjien on tiedettävä yleisimmät virheet ja jotkut hyökkäystavat, joita voi esiintyä.





kuinka laittaa instagram kronologiseen järjestykseen
PÄIVÄN VIDEON TEKEMINEN

Mitä on asiakaspuolen peukalointi? Kuinka voit torjua tätä, jotta sivustosi ja käyttäjäsi ovat turvassa?



Mitä on asiakaspuolen peukalointi?

Asiakaspuolen peukalointi on verkkosovellushyökkäysten peruskäsite kokonaisuudessaan. Yksinkertaisesti sanottuna se tarkoittaa, että et voi enää luottaa mihinkään käyttäjälle lähettämääsi dataan. Lisäksi asiakaspuolen peukalointi on yksi turvallisen sovelluskehityksen perusta. Jos tarkastelet käsittelemääsi tiedostojen latausmoduulia ja harkitset asiakaspuolen peukalointia, tiedot, joihin et voi luottaa, sisältävät:





  • Ladatun tiedoston nimi.
  • Ladatun tiedoston sisältötyyppi.

Nämä kaksi kohdetta ovat missä sinulla on mahdollisuus lisätä sallittujen luetteloon ohjelmistokehittäjänä. Ladatun tiedoston nimitiedot voivat sisältää mitä tahansa asiakaspuolen peukalointia. Ladatun tiedoston sisältötyyppitiedoilla tämä tiedosto saattaa näkyä järjestelmässä kuvana/jpeg-muodossa, vaikka hyökkääjä lataaisikin .exe-tiedoston.

Tiedoston laajennus ja valkoinen lista

Järjestelmään ladattujen tiedostopäätteiden tarkistaminen

Kun kehität tiedostojen latausmoduuleja, ensimmäinen asia on tiedostotunnisteen lisääminen sallittujen luetteloon . Käyttäjä haluaa esimerkiksi ladata tiedoston nimeltä 'muo.jpeg'. Sinun on varmistettava, että tämä tiedostopääte, jonka käyttäjä haluaa ladata, on .jpeg. Tätä varten järjestelmän tulee tarkistaa ladattu tiedosto ja tarkistaa, onko se jokin sallittu tiedostopääte. Ymmärtääksesi kuinka voit tehdä tämän, tutki seuraava yksinkertainen PHP-koodi:



$file_parts = pathinfo($filename);
switch($file_parts['extension'])
{
case "jpg":
break;

case "bat": // Or exe, dll, so, etc.
break;

case "":
case NULL: // No file extension
break;
}

Voit tehdä tämän yllä olevan kaltaisella koodilohkolla tai voit käyttää käyttämäsi kehyksen tarjoamia luokkia ja toimintoja.