本發(fā)明公開了使用網(wǎng)頁校驗碼來防止任意上傳文件的方法及系統(tǒng)，包括：解析具有上傳功能的網(wǎng)站，為具有上傳功能的頁面進行編號，將編號作為校驗碼并隱藏在代碼中，當有文件上傳時，通過網(wǎng)站的校驗功能來判斷待上傳文件是否符合上傳規(guī)則，并進行相應(yīng)的操作。本發(fā)明彌補了目前上傳漏洞的網(wǎng)絡(luò)校驗多數(shù)采用擴展名校驗，且黑客可以通過修改擴展名校驗文件和利用解析漏洞等多種方式繞過限制的不足。本發(fā)明可有效判斷待上傳文件的合法性，防止了網(wǎng)站任意上傳文件的行為，維護了網(wǎng)絡(luò)信息安全。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種使用網(wǎng)頁檢驗碼來防止任意上傳文件的方法及系統(tǒng)。

背景技術(shù)

上傳漏洞一直都是很常見的漏洞。在DVBBS6.0時代被黑客們利用的最為猖獗，利用上傳漏洞可以直接得到Webshell，危害等級很高，導(dǎo)致該漏洞的原因在于代碼作者沒有對訪客提交的數(shù)據(jù)進行檢驗或者過濾不嚴。目前針對上傳漏洞的網(wǎng)絡(luò)校驗多數(shù)采用擴展名校驗，然而黑客們可以通過修改擴展名校驗文件和利用解析漏洞等多種方式繞過限制。一些輔助建站的CMS系統(tǒng)和第三方應(yīng)用本身也具有上傳漏洞，利用比較廣泛的有Ewebeditor，F(xiàn)ckeditor等，在網(wǎng)站上傳時進行抓包，得到接受數(shù)據(jù)提交的頁面地址，然后用工具進行提交，如果存在漏洞，便可以得到Webshell，進入Webshell探測系統(tǒng)信息，提權(quán)，開啟3389端口或使用反彈shell連接，就可以威脅到服務(wù)器甚至內(nèi)網(wǎng)安全。

發(fā)明內(nèi)容

一般情況下，上傳到網(wǎng)頁的文件都是asp、jsp、php、txt等網(wǎng)站可解析的文件格式，黑客們攻擊網(wǎng)站上傳的頁面及Webshell也多是這些文件格式。根據(jù)這一特點，以及上述現(xiàn)有技術(shù)存在的不足，本發(fā)明提出了使用網(wǎng)頁校驗碼來防止惡意上傳文件的方法及系統(tǒng)，解析具有上傳功能的網(wǎng)站，為具有上傳功能的頁面進行編號，將編號作為校驗碼并隱藏在代碼中，當有文件上傳時，通過網(wǎng)站的校驗功能來判斷待上傳文件是否符合上傳規(guī)則，并進行相應(yīng)的操作。

具體發(fā)明內(nèi)容包括：

使用網(wǎng)頁校驗碼來防止惡意上傳文件的方法，其特征在于，包括：

解析網(wǎng)站，得到網(wǎng)站分層結(jié)構(gòu)，將網(wǎng)站表示成無限樹狀列表；

按照網(wǎng)頁在無限樹狀列表中的位置，對具有上傳功能的網(wǎng)頁進行編號，將編號作為網(wǎng)頁的校驗碼，并隱藏在網(wǎng)頁源碼中；

上傳文件時，將所要上傳的網(wǎng)頁的校驗碼寫入待上傳文件代碼中；

網(wǎng)站接收待上傳文件，并進行校驗，若校驗成功，則將待上傳文件上傳至其校驗碼對應(yīng)的網(wǎng)頁；

若校驗失敗，則不進行上傳，并提示上傳者；

所述網(wǎng)站接收待上傳文件，并進行校驗，若校驗成功，則將待上傳文件上傳至其校驗碼對應(yīng)的網(wǎng)頁；若校驗失敗，則不進行上傳，并提示上傳者，具體包括：

網(wǎng)站判斷待上傳文件是否有校驗碼提交，若沒有，則不進行上傳，并提示上傳者；

若有，則判斷校驗碼是否與已有的網(wǎng)頁校驗碼匹配，若不匹配，則不進行上傳，并提示上傳者；

若匹配，則判斷校驗碼是否有重復(fù)，若有，則提示上傳者對待上傳文件進行分次上傳；

若沒有重復(fù)，則將待上傳文件上傳至其校驗碼對應(yīng)的網(wǎng)頁。

進一步地，所述網(wǎng)站接收待上傳文件，并進行校驗，具體為：網(wǎng)站判斷待上傳文件是否有校驗碼提交，若沒有，則不進行上傳，并提示上傳者；

若有，則判斷校驗碼是否與已有的網(wǎng)頁校驗碼匹配，若不匹配，則不進行上傳，并提示上傳者；

若匹配，則判斷校驗碼是否有重復(fù)，若有，則提示上傳者對待上傳文件進行分次上傳；

若沒有重復(fù)，則將待上傳文件上傳至其校驗碼對應(yīng)的網(wǎng)頁。