2024年4月3日
文件下载中的目录遍历漏洞与解决
摘要: 安全组觉得我们文件下载不够安全。给了份修复方案 1、净化数据:对用户传过来的文件名参数进行硬编码或统一编码,对文件类型进行白名单控制,对包含恶意字符或者空字符的参数进行拒绝。 2、web应用程序可以使用chroot环境包含被访问的web目录,或者使用绝对路径+参数来访问文件目录,时使其即使越权也在访 阅读全文
posted @ 2024-04-03 14:50 黑色与褐色 阅读(357) 评论(0) 推荐(0)