Разработчики часто напрямую используют или связывают потенциально уязвимые данные с файлом или предполагают, что входные файлы являются подлинными. Если данные не проверены должным образом, это может привести к тому, что веб-сервер будет обрабатывать или вызывать уязвимое содержимое.
Некоторые из классических примеров включают в себя:
- Загрузите файл .jsp в веб-дерево.
- Загрузить .gif для изменения размера.
- Загрузите огромные файлы.
- Загрузите файл, содержащий теги.
- Загрузите файл .exe в веб-дерево.
Профилактические механизмы
- Защищенные веб-сайты с использованием разрешений веб-сайта.
- Принять контрмеры для обеспечения безопасности веб-приложений.
- Понимание встроенных учетных записей пользователей и групп в IIS 7.0.
0 комментариев