Upload Function Can be Used to Upload Malicious Files

最新推荐文章于 2022-12-14 10:31:29 发布
最新推荐文章于 2022-12-14 10:31:29 发布
阅读量198 收藏
点赞数
分类专栏: 漏洞 文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zenglingmin8/article/details/117371876
版权

漏洞扫描结果:

Severity:High
Upload Function Can be Used to Upload Malicious Files

解决方法:
禁止可疑的上传文件格式和危险的请求方式,location添加一些适当的策略

server {
        listen       8888;
        server_name  xxxx.xxxx.com;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;
        if ($http_user_agent ~* (Scrapy|Curl|HttpClient)) {
            return 403;
        }

        if ($http_user_agent ~ "FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|YisouSpider|HttpClient|MJ12bot|heritrix|EasouSpider|LinkpadBot|Googlebot|Ezooms|^$" ) {
           return 403;
        }

        if ($request_method !~ ^(GET|HEAD|POST)$) {
           return 403;
        }

        #location ~* \.(html|htm|php|gif|jpg|jpeg|bmp|png|ico|js|css|avi|mp4|wmv|vob|flv|rmvb|mpg|mkv|mpeg)$ {
        location / {
            root   /usr/local/var/www;
            index  index.html index.htm;
            add_header X-Frame-Options SAMEORIGIN; # 只允许本站用 frame 来嵌套
            add_header X-Content-Type-Options nosniff; # 禁止嗅探文件类型
            add_header X-XSS-Protection "1; mode=block"; # XSS 保护
            proxy_pass https://www.baidu.com;
        }

        #location / {
        location ~* \.(exe|bat|com|pif|scr|php|php5)$ {
           deny all;
           add_header X-Frame-Options SAMEORIGIN; # 只允许本站用 frame 来嵌套
           add_header X-Content-Type-Options nosniff; # 禁止嗅探文件类型
           add_header X-XSS-Protection "1; mode=block"; # XSS 保护
        }
zenglingmin8
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
The Way to Make and Upload Videos into Youtube
iteye_19160的博客
12-10 2149
In the past, we always feel difficulty to make a good video and upload it to youtube, because most of us are newbie about this technology field. Don't worry, now there is a good and easy device can he...
jpeg-js:用于node.js的纯JavaScript JPEG编码器和解码器
05-01
jpeg-js 用于node.js的纯JavaScript JPEG编码器和解码器 注意:这是一个同步(即CPU阻塞)库,它比本机替代库慢得多。 如果您不需要纯JavaScript实现,请考虑在节点中使用节点或浏览器中的等异步替代方法。 安装 该模块通过npm安装: $ npm install jpeg-js 用法示例 解码JPEG 将缓冲区或类型化的数组解码为Buffer ; var jpeg = require ( 'jpeg-js' ) ; var jpegData = fs . readFileSync ( 'grumpycat.jpg' ) ; var rawImageData = jpeg . decode ( jpegData ) ; console . log ( rawImageData ) ; /* { width: 320, height: 180,
Pikachu靶场通关笔记--unsafe fileupload (不安全的文件上传)
weixin_45908624的博客
12-14 1084
文件上传漏洞
npm i时遇到high severity vulnerabilities
qq_43802217的博客
10-17 3065
npm i 遇到high severity vulnerabilities时的解决方法
php任意文件上传,Simple E-Document‘upload.php’任意文件上传漏洞
weixin_36027600的博客
03-17 342
### This module requires Metasploit: http//metasploit.com/download# Current source: https://github.com/rapid7/metasploit-framework##require 'msf/core'class Metasploit3 < Msf::Exploit::RemoteRank = ...
A Guided Approach to Finding Malicious Web Pages
01-30
一种寻找恶意网页得系统化的方法,详细的描述了如何从Content Dorks gadget,SEO gadget,Domain Registrations gadget寻找恶意网页的方法。
Malicious Bots
09-11
Malicious Bots(英文版)
论文研究-An Algorithm for Detection of Malicious Messages on CAN Buses.pdf
08-15
一种CAN总线恶意帧检测方法,凌从礼,冯冬芹,控制系统正在面临着越来越多的安全威胁,CAN作为常用的控制系统总线容易遭到恶意帧的破坏.为了提高CAN控制系统的安全,本文提出了��
Secure-Upload-File
03-13
- Protection from uploading malicious web files, shells or executable files - Disable the 'PHP' engine entirely - Disable 'directory' listing # 403 Forbidden - Deny all Methods except 'GET' and 'POST'...
Decoupling Malicious Interests from Pending Interest Table to Mitigate Interest Flooding Attacks
02-10
Decoupling Malicious Interests from Pending Interest Table to Mitigate Interest Flooding Attacks
videoUpload视频上传
03-11
使用HTTPURLCONNECTION类来实现一个将视频播放的内容上传到网页应用中
原生axaj函数与upload函数
林毅洋
06-13 984
/* 封装ajax函数 * @param {string}opt.type http连接的方式,包括POST和GET两种方式 * @param {string}opt.url 发送请求的url * @param {boolean}opt.async 是否为异步请求,true为异步的,false为同步的 * @param {object}opt.data 发送的参数,格式为对象类型 * ...
文件上传 带进度条(多种风格)(转)
ulark的专栏
03-01 438
     友好的提示 以及上传验证!       部分代码: form id="form1" runat="server"> asp:ScriptManager ID="scriptManager" runat="server" EnablePageMethods="true" /> scrip
基于SpringMVC+Bootstrap实现图片异步上传进度显示
Jason
10-28 6808
一 前言 二 效果 1打开图片上传Modal 2选择文件点击上传显示进度 第三步上传完后关闭Modal显示上传图片 三 实现 1实现ProgressListener 2实现MultipartResolver 3Progress 实体类 4SpringMVC Controller方法 5配置CustomMultipartResolver 6上传页面一、 前言最近在做一个小项目,框架使用现在主流的:S
upload.js 文件图片上传
tanyit的专栏
04-28 6161
//isImgControl:缩略图片大小是否控制 //isYin:是否加水印 var isImgtemp; function uploadImgControlAndYin(isControl){ isImgtemp = isControl; } //上传商品图片工具,支持多张上传 function uploadGoodsImgMulti(){ uploadComponent("uplo
aliyun-sdk-vod-upload引入报错解决办法!!!
本人拙笔,记录一些开发、面试中的笔记,希望能帮到你。
07-20 5072
打开链接,去阿里云官网下载 https://help.aliyun.com/document_detail/51992.html?spm=a2c4g.11186623.6.1029.2dab6cecZfMGvO 2、如图下载 3、解压缩文件 4、CMD回车,进入控制台安装到仓库 mvn install:install-file -DgroupId=com.aliyun -DartifactId=aliyun-sdk-vod-upload -Dversion=1.4.12 -Dpackaging=jar
vant:uploader图片上传回显
qq_36413371的博客
05-09 5263
<van-uploader :after-read="afterRead" accept="image/*" :preview-image="true"> <img :src="imgSrc" alt=""> </van-uploader> data中 imgSrc: require('../assets/img/CertificateInput/addImg.png')
'fopen': This function or variable may be unsafe.
最新发布
03-31
However, if not used properly, this function can be exploited by attackers to execute malicious code, overwrite important files, or perform other unauthorized actions on the system. To avoid this ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值