如何限制新建的文件名、目录名及文件类型

admin
admin
admin
138717
文章
114
评论
2025年2月17日12:55:46评论4 views字数 1206阅读4分1秒阅读模式

如何限制新建的文件名、目录名及文件类型

禁止新建指定类型的文件,或是新建的文件名和目录名禁止包含指定字符,是一个很小众的需求,因此支持此类功能的软件很稀有。幸运的是,《护卫神.防入侵系统》支持此功能,该软件的“命名防护”模块可以限制目录名称和文件名称禁止包含特定字符(如下图一)。
如何限制新建的文件名、目录名及文件类型
(图一:禁止新建含有特定名称的文件和目录)
文件名填写规则说明:
支持完整名称或部分名称,部分名称需要加*,只填写*表示禁止新建文件
填写示例:
web.config,表示禁止创建名称为web.config的文件
web*,表示禁止创建名称以web开头的文件
*.php,表示禁止创建名称以.php结尾的文件
*.asp*,表示禁止创建名称包含.asp的文件,如:1.asp、1.aspx
目录名填写规则说明:
支持完整名称或部分名称,部分名称需要加*,只填写*表示禁止新建目录
填写示例:
upload,表示禁止创建名称为upload的目录
web*,表示禁止创建名称以web开头的目录
*.php,表示禁止创建名称以.php结尾的目录
*upload*,表示禁止创建名称包含upload的目录,如:upload、myuploads
既然这个功能很稀有,那它有哪些应用场景呢?下面我们来慢慢讲解!
场景一:禁止图片目录上传动态脚本
大部分网站都有在线上传功能,由于上传程序漏洞原因,黑客往往能通过此模块上传网页木马和后门,从而入侵网站。如果我们能限制图片上传目录,禁止上传ASP、PHP、ASP.net、JSP等动态脚本,那岂不是就解决这个漏洞了?防护规则如下图二。
 如何限制新建的文件名、目录名及文件类型
(图二:禁止新建asp/php/aspx/jsp类型文件)
如上图所示,禁止新建的文件以.asp、.php、.aspx、.jsp结尾,当黑客上传木马后门时,拦截效果如下图三,是不是就轻松解决在线上传漏洞了呢?
 如何限制新建的文件名、目录名及文件类型
(图三:拦截黑客上传PHP文件)
场景二:禁止上传视频文件到服务器
大部分虚拟主机服务器都禁止用户上传视频文件,因为消耗带宽非常厉害。操作系统自身没有此限制功能,通过《护卫神.防入侵系统》可以轻松解决,规则如下图四。
 如何限制新建的文件名、目录名及文件类型
(图四:拦截服务器上传视频文件)
场景三:防止IIS脚本解析漏洞
IIS脚本解析漏洞可以让普通文件以动态脚本来执行。因此黑客就利用在线上传漏洞,将木门后门伪装成图片文件上传,再利用脚本解析漏洞访问,轻松实施入侵。
脚本解析漏洞是指目录名以.php结尾,其下面的所有文件都会用PHP引擎解析,当做PHP文件执行。
如果我们禁止建立以.php解析的目录,那不就解决此问题了。防护规则如下图五。
 如何限制新建的文件名、目录名及文件类型
(图五:禁止新建以.php结尾的目录,防止脚本解析漏洞)
当有黑客新建.php结尾的目录时,拦截效果如下图六。
 如何限制新建的文件名、目录名及文件类型
(图六:拦截新建以.php结尾的目录)
禁止新建指定类型的文件,或禁止文件名和目录名含有自定字符,此功能虽然小众,但如果应用得当,对安全也大有裨益!

原文始发于微信公众号(护卫神说安全):如何限制新建的文件名、目录名及文件类型

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月17日12:55:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何限制新建的文件名、目录名及文件类型https://cn-sec.com/archives/3750211.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息