我有一个网站表单对公众开放,具备文件上传功能。现在上传的文件要么保存在Web服务器上,要么作为附件发送到电子邮件中。我们有大小限制,即15MB和上传文件的扩展名。我们的SMTP服务器位于同一台Web服务器上。我担心安全问题,因为任何人都可以上传恶意文件,并对我们的生产Web服务器造成影响。
这种文件上传控件向公众提供的风险是什么?有没有办法通过上传恶意文件在Web服务器上执行恶意脚本?
我做了一些研究并发现以下几点:
- 如果我将文件作为电子邮件附件发送,此文件将在临时ASP .Net文件夹中存储一段时间,一旦发送电子邮件,该文件将被删除。
- 您可以在将它们保存在文件系统之前重命名文件。
- 您可以将文件保存在与您的网站不同的位置。
- 您可以进行某种实时病毒检查。我不确定如何做到这一点。我正在阅读一些命令行病毒扫描的内容。但不确定我是否真的需要那个。
这只是几个要点,但我想知道文件上传中的任何盲点。