使用文件上传¶
ID: cs/web/file-upload
Kind: problem
Security severity: 9.8
Severity: recommendation
Precision: high
Tags:
- security
- maintainability
- frameworks/asp.net
- external/cwe/cwe-434
Query suites:
- csharp-security-extended.qls
- csharp-security-and-quality.qls
允许最终用户上传文件可能会导致严重的安全威胁。攻击者可能会利用此漏洞来危害您的应用程序,方法是覆盖数据或注入恶意代码以在您的服务器上运行。
建议¶
虽然可能无法删除上传文件的功能,但应特别注意确保以安全的方式处理文件。应实施以下检查以确保应用程序的安全性
验证写入上传数据的每个路径。
检查要上传的数据的内容,而不仅仅是依赖 MIME 类型。
为上传的数据设置大小限制。
不要以管理员权限运行 Web 应用程序。
记录每个上传请求。
如果上传失败,请勿显示系统信息或异常,因为此信息可能会帮助攻击者找到漏洞。
参考¶
常见弱点枚举:CWE-434。