日期:2014-05-17  浏览次数:21216 次

我想问这样可以防止上传漏洞吗?
我在IIS里面设置,让上传的哪个文件夹不能运行
就是说如果我上传的东西都放在uploadfile文件夹里面,那么在IIS里面就选中该文件夹-》属性,在“目录”的“执行权限”那里选择“无”

这种方法可以根本防止上传漏洞吗?

当然在上传代码那里要注意路径只限制在那里。。。

----------------------------------
顺便问问:
那些上传组件是比较安全(没有nc漏洞)的?



------解决方案--------------------
一般来说 ,这样做可以达到目的,不过服务器要装杀毒软件的东东,以防不测
------解决方案--------------------
up
------解决方案--------------------
要是漏洞可以指定路径的话..可能这个就没用了
最好就是把上传洞补了.
------解决方案--------------------
上传组件漏洞问题没有这么恐怖的,而且组件本身是没有问题的,主要是大家在使用的时候注意安全控制,个人经验总结如下(仅供参考,欢迎交流):
1、可独立运行的管理模块页面均加入登陆权限验证,即Session验证主要针对被主功能
页面包含或者引用未加入验证的页面。例如:商品添加页面中,有引用的上传页面,与
上传数据验证页面。
2、上传数据文件接收页面程序在上传保存前再加入字符串查找的方式进行文件类型验证,
通用上传的文件验证是使用file.FileExt取得扩展名。这种方式使用瑞士军刀之类的软件
可以进行数据截取的方式进行欺骗。
3、上传图片目录及相关图片目录禁止脚本文件运行。
4、服务器病毒查杀加入自定义病毒类型,将目前网络上主流的木马文件名称加入病毒库。
5、检查SQL注入漏洞,网络上有专门的扫描工具。(需要登录验证的,要另外进行检测)
6、帐户及密码管理,帐户与密码不允许相同。
7、增加多次登录失败锁定功能,重新开通需要通过系统高级管理员进行操作。