浅谈核电信息项目开发中如何防范文件上传漏洞

摘要

核电企业内网越来越多的信息化项目采用基于WEB的服务方式,程序员在编写程序时对文件上传部分的代码控制不足或者处理时存在一定的缺陷,导致产生可以被恶意攻击者利用的文件上传漏洞,本文通过对文件保存路径中存在空字符而引起的上传漏洞的原理分析与利用该漏洞进行攻击过程的模拟演示,提出了由有关空字符导致的上传漏洞的防范措施以及较为系统全面的上传漏洞防范方法：防止外部表单数据提交、给上传的ASP、CER等危险后缀名添加一个尾字符"_"、检查文件内容是不是图片文件或者自己允许上传的文件类型、增加隐含的验证码等.