Joomla惡意文件上傳和跨站點腳本

Question

我的網站正在進行安全審計，以獲得安全認證。審計後，他們給了我兩個安全問題來看待。

1. 存儲跨站腳本：應用程序必須實現服務器端驗證所有用戶輸入的輸入。只有預期值應該被接受。腳本標籤應該被拒絕。所有用戶輸入都應該進行消毒。

2. 惡意文件上傳

我在的Joomla全局配置文本過濾器所添加的過濾器標籤。儘管我已明確聲明所有文件上傳元素只使用.jpg，.jpeg，.png擴展名，但我仍然可以上傳.php擴展名文件。

我們如何糾正這兩個問題？

問候

Answer 1

使用defines.php文件清理POST數據到達Joomla網站之前，並阻止它與$ _FILES的任何請求。

如果您的網站需要允許用戶上傳文件，那麼請確保這些文件只包含特定的文件類型，並且如果您不需要外部世界訪問這些文件，則阻止訪問這些文件（在您將它們上傳到的文件夾中）使用htaccess規則。