← 回到練習列表 加入 LINE 社群
Day 17

Day 17|File Upload Vulnerability 檔案上傳弱點

昨日複習

Day 16|Authorization 授權與權限檢查

The user is logged in but can access another user's account settings.

正確答案 B. 使用者已登入,但可以存取其他使用者的帳號設定

這句在描述:Broken Access Control / Authorization(存取控制失效/授權)

看完整 Day 16 →

今日句子

The application allows users to upload files without properly validating the file type.

中文意思

應用程式允許使用者上傳檔案,但沒有正確驗證檔案類型。

這句在說什麼資安問題

File Upload Vulnerability(檔案上傳弱點)

這句描述的是檔案上傳弱點。系統讓使用者上傳檔案,但沒有檢查副檔名、MIME 類型或檔案內容,攻擊者可能上傳惡意腳本(如 .php、.jsp),若伺服器執行了這個檔案,就可能造成遠端程式碼執行(Remote Code Execution)。

  • 攻擊者上傳偽裝成圖片的 PHP webshell,取得伺服器控制權
  • 系統只檢查副檔名但不驗證內容,攻擊者把 .php 改名為 .jpg 繞過檢查
  • 上傳超大檔案導致伺服器磁碟空間耗盡(DoS)

重點單字

英文中文
allows users to 允許使用者
upload files 上傳檔案
without properly validating 沒有正確驗證
file type 檔案類型

練習題

Attackers may upload a malicious file and execute it on the server.

ASQL Injection
BCross-Site Scripting
CFile Upload Vulnerability
DUsername Enumeration
💡 upload a malicious file and execute it on the server(上傳惡意檔案並在伺服器上執行)正是 File Upload Vulnerability(檔案上傳弱點)的典型影響,可能進一步導致 Remote Code Execution(遠端程式碼執行)。