本申請公開了一種防御文件上傳驗證繞過的方法，在對待上傳文件進行上傳驗證時，首先得到去除后綴的文件名，并檢測該文件名中是否存在與目標后綴字符串相同的后綴字符串，并在發現存在與該目標后綴字符串相同的后綴字符串時，拒絕該待上傳文件的上傳。區別于現有技術僅對最末尾后綴進行上傳驗證的方式，本申請還對隱藏于文件名中的后綴字符串進行檢測，能夠有效的對現有多種繞過方式實現精準檢測，并適應多種服務器管理軟件對文件的解析方式，可顯著降低通過文件上傳漏洞危害服務器和服務器中數據的可能性，安全性更高。本申請還同時公開了一種防御文件上傳驗證繞過的系統、裝置及計算機可讀存儲介質，具有上述有益效果。

技術領域

本申請涉及服務器安全技術領域，特別涉及一種防御文件上傳驗證繞過的方法、系統、裝置及計算機可讀存儲介質。

背景技術

當Web應用越來越為豐富的同時，Web服務器以其強大的計算能力、處理性能及其蘊含的較高價值逐漸成為主要攻擊目標。SQL注入(把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令)、Webshell(Web入侵的腳本攻擊工具)攻擊、網頁掛馬等安全事件，頻繁發生。企業等用戶一般采用建立在數據鏈路層、網絡層、傳輸層上的防火墻(Firewall)作為安全保障體系的第一道防線，但由于各種實際存在的問題，防御效果并不理想，因此產生了WAF。

WAF，Web Application Firewall，Web應用防護系統，是一種通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的工作在應用層的產品。由于其工作在應用層，因此對同屬于一層的Web應用能夠更好的進行防護，WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網站站點進行有效防護。

雖然WAF相較于傳統防火墻有了長足的進步，但依然會存在一些漏洞，導致被惡意文件入侵，利用Web服務器的文件上傳漏洞將一個惡意的可執行文件成功上傳至Web服務器，就是其中一種最快最直接的獲得服務器權限的方法。該漏洞是指用戶上傳了一個可執行的腳本文件，并通過此腳本文件獲得了執行服務器端命令的能力。文件上傳這個功能本身沒有問題，有問題的是文件上傳后，Web服務器怎么處理、解釋文件。如果服務器的處理邏輯不夠安全，就會導致上傳的文件被web容器解釋執行，從而造成嚴重的后果。

主流架構下的Web服務器在對一個上傳的文件進行檢測時，通常是基于待上傳文件的后綴來判斷該文件所屬的類型是否為自身允許接收的文件類型，其中，后綴通常為位于文件名最后的“.xxx”，即通過判斷“xxx”是否處于白名單或黑名單中的方式來允許上傳或拒絕上傳操作的執行。但此種方式往往能夠通過多種手段來繞過對待上傳文件的真實后綴的檢測，使其符合文件上傳的判斷邏輯，但在服務器真正解析這個文件時，就會使其成為一個真正的可執行的惡意文件，進而對Web服務器造成危害。

以使用IIS早期版本的Web服務器為例，在其服務器管理程序的管理下，假定其只允許后綴格式為.jpg的圖像文件上傳，因此當一個網絡圖像的鏈接為www.xxx.com/xx.asp；.jpg時，會由于最后的“.jpg”通過文件上傳檢測，但在服務器對接收到這個文件進行解析時，會由于服務器默認不解析“；”號后面的內容，導致xx.asp；.jpg這個文件便被解析成asp文件。而當這個asp文件包含惡意內容時，就會在執行過程中對服務器及保存在服務器上的數據造成危害。

因此，現有技術在不能很好的防止惡意文件通過多種后綴驗證繞過手段來對Web服務器造成危害，如何克服這一技術缺陷，提供一種防后綴繞過能力更強的方法是本領域技術人員亟待解決的問題。

發明內容