任意文件下载漏洞的修复方案

江小悠 14 0

1)过滤用户数据,如“/",“*","."等特殊字符
2)更新中间件
3)要下载的文件地址保存至数据库中
4)文件路径保存至数据库,让用户提交文件对应ID或session下载文件
5)用户下载文件之前需要进行权限判断
6)文件放在web无法直接访问的目录下
7)不允许提供目录遍历服务
8)公开文件可放置在web应用程序下载目录中通过链接进行下载

发表评论 取消回复
表情 图片 链接 代码

分享