不少网站都拥有可以上传的功能,如允许用户上传图片、doc、xls等文件。
但允许上传也同时带来一定的安全隐患,如用户上传木马文件(如.asp)到上传目录,然后运行造成危害。
那么,有没有好办法,既能够锁定网站目录不被篡改,但仅允许上传目录,仅仅可以上传.jpg/.gif文件呢?答案也是肯定的,利用防篡改系统,从驱动级进行限制,请看如下设置:
假设某网站根目录为“D:\wwwroot\web”,网站结构如下:
说明:“upload”目录为允许上传目录,但只允许“.jpg/.gif/.png/.bmp”等图片文件,其余类型的文件一概禁止,但其他目录不受此限制。
请看设置流程:
1、打开文件保护模块,点击【新增】按钮,新增规则:
2、点击【浏览】,选择监控的目录,这里用“D:\wwwroot\web”为例:
3、选择目录后,再点击【添加】添加子规则,如下图:
4、选择子路径,如图,这里选择“upload”目录:
5、在子路径中输入格式“*\upload\*.jpg|*\upload\*.bmp|*\upload\*.gif|*\upload\*.png”,因为支持*通配符,请认真设置,不区分大小写,设置完成以后注意允许操作的权限:
6、设置规则权限,仅保留“读取”,其余均不允许,表示网站只能被读取,不能被修改和删除,然后点击【保存】:
7、开启“文件保护”开关,设置完成:
8、新建或重命名“upload”目录下的文件为exe,此时看到被拦截:
说明:推荐每台服务器均进行如此设置,避免用户上传可执行文件,威胁服务器安全。