对于我正在帮助的网站,他们希望允许用户上传图片进行展示。显然这具有安全隐患。我已经看到它讨论过上传的图像应该存储在webroot之外,而不是仅通过脚本访问。
但是,当我回顾OWASPS关于文件上传安全性的讨论时,我没有看到他们提到在webroot之外存储上传文件的必要性。 https://www.owasp.org/index.php/Unrestricted_File_Upload。他们的开发人员推荐列表还有许多其他步骤,但令我惊讶的是,至少我没有提到将文件存储在webroot之外。
假设您遵循上述链接中OWASP列出的建议,允许将图像上传到webroot是否安全?
答案 0 :(得分:0)
不,没有必要将图像存储在webroot之外。但是,您应该确保将所有上传内容限制为jpg,png等。只有图像格式,否则如您发布的链接中所述,您确实存在攻击系统的风险。我还会创建一个专门用于webroot内部上传图像的文件夹,使事情更加有序,并确保内部的所有图像都设置为只读给Web用户。