文件上传漏洞及webshell简介

文件上传漏洞

漏洞概述

文件上传是web应用的必备功能之一,比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站等。如果服务器配置不当或者没有进行足够的过滤,web用户就可以上传任意文件,包括恶意脚本文件、exe程序等,这就造成了文件上传漏洞。

漏洞成因

文件上传漏洞的成因,一方面服务器配置不当会导致任意文件上传;另一方面,web应用开放了文件上传功能,并且对上传的文件没有进行足够的限制;再者就是,程序开发部署时候,没有考虑到系统特性和验证和过滤不严格而导致限制被绕过,上传任意文件。

漏洞危害

上传漏洞最直接的威胁就是上传任意文件,包括恶意脚本、程序等。如果web服务器所保存上传文件的可写目录具有执行权限,那么就可以直接上传后门文件,导致网站沦陷。如果攻击者通过其他漏洞进行提权操作,拿到系统管理权限,那么直接导致服务器沦陷。同服务器下的其他网站无一幸免,均会被攻击者控制。
通过上传漏洞获得的网站后门,就是webShell。

Webshell

在计算机科学中,Shell俗称壳(用来区别于“核"),是指"为使用者提供操作界面"的软件(命令解释器)。类似于windows系统给的cmd.exe或者linux 下bash 等,虽然这些系统上的命令解释器不止一种。
webShell是一个网站的后门,也是一个命令解释器,不过是以web方式(HTTP协议)通信(传递命令消息),继承了web用户的权限。webShell本质上是在服务器端可运行的

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值