3
我有一个页面,用户可以上传一张稍后保存在服务器上的图片。我通过检查其名(.jpg,.png等).NET中的图片上传验证
是这样的验证足够的服务器安全做上传文件的简单的验证?或者这是否让人有机会上传可能会损害我的服务器的恶意代码?如果可以验证上传的图像,如何完成?
A
回答
2
只要最终用户在服务器上放置了任何东西,就有可能导致恶意行为。尽管双击.jpg图像不太可能会让你的盒子满意,但已知陌生的事情会发生。 (例如,谁知道PDF文件可以包含如此多的安全问题!)
最好的办法是尝试实际加载的图像,看它是否在GDI +库,将其识别为一个有效的图像。如果你没有得到运行时异常,那么你知道图像是'有效的'。但是,如果在GDI +中加载图像并不会保护您的盒子,那么这不会保护您。
可以进一步在一个单独的AppDomain中加载图像保护自己,但缩小了潜在的威胁。
1
通常你可以读/检查MIME类型的文件,通过使用urlmon.dll。看到这个优秀的答案here。
这也是个不错的主意,有在服务器上安装一个很好的防病毒程序。启用实时文件系统扫描,并在文件上传后立即包含最可能的恶意代码。
1
凭借该验证,任何人都可以,只要他们给它,你正在寻找扩展上传任何东西。漏洞取决于你在做什么。如果你重新服务他们,接收他们的人可能会受到损害。这需要一些创造力来对他们做一些恶意的事情,但我的直觉说可以做到。
这个答案(Validate image from file in C#)似乎有一些关于以编程方式实际验证图像的想法。
相关问题
- 1. .NET C#图片上传验证
- 2. 验证图片上传
- 3. 图片上传验证
- 4. CI中的图片上传与验证
- 5. Kohana的图片上传验证
- 6. 带验证的图片上传器
- 7. 上传时验证图片宽度?
- 8. ASP.NET MVC:图片上传验证
- 9. php文件图片上传验证
- 10. 多图片上传验证javascript
- 11. 使用ImageResizer.net验证图片上传
- 12. 使用PHP验证图片上传
- 13. 如何验证上传图片?
- 14. 正在验证图片上传
- 15. 从上传图片获取图片宽度并验证为js?
- 16. 如何验证PlayFramework 1中的图片上传?
- 17. 使用PHP上传图片与从上传图片创建图片时的验证过程
- 18. MVC中的图片验证
- 19. jquery中的图片验证
- 20. 图片验证
- 21. Laravel图像上传验证
- 22. 在php中上传图片 - 验证返回错误结果
- 23. 笨 - >图片上传第3部分 - >图像验证
- 24. CodeIgniter - 使用图片上传的表单验证
- 25. Rails4:如何验证carrierwave上传的图片大小?
- 26. Facebook的广告图片上传大小检查验证
- 27. PHP图片验证
- 28. Facebook SDK .Net(C#)离线上传图片
- 29. 使用.net Webservices上传图片
- 30. 将Android上传的图片上传到WCF C#/。 NET