[发明专利]使用网页校验码来防止任意上传文件的方法及系统

说明书

本发明公开了使用网页校验码来防止任意上传文件的方法及系统，包括：解析具有上传功能的网站，为具有上传功能的页面进行编号，将编号作为校验码并隐藏在代码中，当有文件上传时，通过网站的校验功能来判断待上传文件是否符合上传规则，并进行相应的操作。本发明弥补了目前上传漏洞的网络校验多数采用扩展名校验，且黑客可以通过修改扩展名校验文件和利用解析漏洞等多种方式绕过限制的不足。本发明可有效判断待上传文件的合法性，防止了网站任意上传文件的行为，维护了网络信息安全。

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种使用网页检验码来防止任意上传文件的方法及系统。

背景技术

上传漏洞一直都是很常见的漏洞。在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到Webshell，危害等级很高，导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严。目前针对上传漏洞的网络校验多数采用扩展名校验，然而黑客们可以通过修改扩展名校验文件和利用解析漏洞等多种方式绕过限制。一些辅助建站的CMS系统和第三方应用本身也具有上传漏洞，利用比较广泛的有Ewebeditor，Fckeditor等，在网站上传时进行抓包，得到接受数据提交的页面地址，然后用工具进行提交，如果存在漏洞，便可以得到Webshell，进入Webshell探测系统信息，提权，开启3389端口或使用反弹shell连接，就可以威胁到服务器甚至内网安全。

发明内容

一般情况下，上传到网页的文件都是asp、jsp、php、txt等网站可解析的文件格式，黑客们攻击网站上传的页面及Webshell也多是这些文件格式。根据这一特点，以及上述现有技术存在的不足，本发明提出了使用网页校验码来防止恶意上传文件的方法及系统，解析具有上传功能的网站，为具有上传功能的页面进行编号，将编号作为校验码并隐藏在代码中，当有文件上传时，通过网站的校验功能来判断待上传文件是否符合上传规则，并进行相应的操作。

具体发明内容包括：

使用网页校验码来防止恶意上传文件的方法，其特征在于，包括：

解析网站，得到网站分层结构，将网站表示成无限树状列表；

按照网页在无限树状列表中的位置，对具有上传功能的网页进行编号，将编号作为网页的校验码，并隐藏在网页源码中；

上传文件时，将所要上传的网页的校验码写入待上传文件代码中；

网站接收待上传文件，并进行校验，若校验成功，则将待上传文件上传至其校验码对应的网页；

若校验失败，则不进行上传，并提示上传者；

所述网站接收待上传文件，并进行校验，若校验成功，则将待上传文件上传至其校验码对应的网页；若校验失败，则不进行上传，并提示上传者，具体包括：

网站判断待上传文件是否有校验码提交，若没有，则不进行上传，并提示上传者；

若有，则判断校验码是否与已有的网页校验码匹配，若不匹配，则不进行上传，并提示上传者；

若匹配，则判断校验码是否有重复，若有，则提示上传者对待上传文件进行分次上传；

若没有重复，则将待上传文件上传至其校验码对应的网页。

进一步地，所述网站接收待上传文件，并进行校验，具体为：网站判断待上传文件是否有校验码提交，若没有，则不进行上传，并提示上传者；

若有，则判断校验码是否与已有的网页校验码匹配，若不匹配，则不进行上传，并提示上传者；

若匹配，则判断校验码是否有重复，若有，则提示上传者对待上传文件进行分次上传；

若没有重复，则将待上传文件上传至其校验码对应的网页。