在分析某程序的过滤防护时,发现不正确的过滤场景会导致文件后缀截断问题:

前台上传文件处:
QQ截图20190321200055.png

程序严格限制了文件后缀为无害后缀:
QQ截图20190321200210.png

但是利用过滤规则,程序会过滤<script> ,由于并非拦截,可以构造<scritp.png,导致截断性,留下剩下的文件名:
QQ截图20190321200303.png

最终导致了有害文件的产生。

对于程序的过滤和拦截,在不同场景,还是要多加考虑的。

小记:一直以为过滤是很恶心的事,但现在看来,还是有用处的。。。感觉是帮了倒忙。。。

标签: none

添加新评论