文件上传原理

最新推荐文章于 2022-12-13 17:40:43 发布
最新推荐文章于 2022-12-13 17:40:43 发布
阅读量709 收藏
点赞数 1
分类专栏: 文件上传与文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wu000999/article/details/83181003
版权

文件上传漏洞:

由于服务器未对上传的文件 (文件类型、文件扩展名等) 进行严格的验证和过滤,造成攻击者上传恶意脚本到服务器端,从而执行攻击者代码,这个过程就是文件上传漏洞。


文件上传存在漏洞的原因:

上传文件的时候,如果服务器脚本语言,未对上传的文件进行严格的验证和过滤,就容易造成上传任意文件,包括上传脚本文件。

如果是正常的PHP文件,对服务器则没有任何危害。

PHP可以像其他的编程语言一样,可以查看目录下的文件,查看文件中的吗内容,可以执行系统命令等。

上传文件的时候,如果服务器端脚本语言,未对上传的文件进行严格的验证和过滤,就有可能上传恶意的PHP文件,从而控制整个网站,甚至是服务器。这个恶意的PHP文件,又被称为WebShell。


造成文件上传漏洞的原因:

服务器配置不当

开源编辑器的上传漏洞

本地文件上传限制被绕过

过滤不严或被绕过

文件解析漏洞导致文件执行

文件路径截断


文件上传三要素:

表单提交方式:post (get方式提交有大小限制,post没有)

表单的enctype属性:必须设置为multipart/form-data.

表单必须有文件上传项:file

enctype 属性规定在发送到服务器之前应该如何对表单数据进行编码。

默认地,表单数据会编码为 “application/x-www-form-urlencoded”。就是说,在发送到服务器之前,所有字符都会进行编码(空格转换为 “+” 加号,特殊符号转换为 ASCII HEX 值)。

在这里插入图片描述

孤君
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 文件上传原理解析
08-27
Spring Boot 文件上传原理主要涉及到Spring MVC的处理机制。Spring Boot本身并不直接处理文件上传,而是依赖于Spring MVC的组件来完成这项任务。Spring MVC通过一个名为`MultipartResolver`的接口来处理文件上传请求...
php文件上传原理与实现方法详解
10-15
以下是对PHP文件上传原理与实现方法的详细解析: 首先,了解文件上传原理。当用户通过HTML表单选择文件并提交时,浏览器会将文件作为二进制数据封装在HTTP请求中,以`multipart/form-data`的格式发送。PHP服务器...
深入理解文件上传下载的原理及实现逻辑
Lion_Long的博客
11-15 4156
文件上传原理文件上传类型(秒传、分片上传、大文件上传、断点续传、断点下载原理)、多线程下载逻辑。
form表单文件上传的三要素,get和post请求的区别
weixin_54401017的博客
04-15 5212
一,文件上传三要素:1.表单提交方式:post (get方式提交有大小限制,post没有)2.表单的enctype属性:必须设置为multipart/form-data. 根据HTTP协议的规定,浏览器每次向后台提交参数,都会对参数进行统一的编码,默认采用的编码格式是urlencoded,这种编码格式只能对文本数据进行编码,浏览器每次向后台提交参数,都会先把所有参数转化成字符串,然后对这些数据统一进行urlencode编码,3.表单必须有文件上传项:file二.为什么表单的enctype属性:必须设置为mu
文件传输原理及示例
qq_43589143的博客
04-09 1289
ascii码:第一次发表为1967年,最后一次更新为1986年。用一byte(八位二进制)表示128个字符,可以表示现代英语和西欧语言。 Unicode(统一码):万国码,1994年发布第一版,2020发布13.0版。为每种语言的每个字符设置了统一且唯一的二进制编码。用两个字节表示。 二进制文件和文本文件 表示 文件都是由字节表示。 文本文件每个字节的最高位都是0,也就是都是用一个字节中的后七位来表示。 二进制文件使用所有位来表示。 打开方式 文本文件打开的时候先translate为ascii码,二进制文件
java回顾:文件上传 (配合SpringMVC)
m0_56678122的博客
12-13 117
java回顾:文件上传 (配合SpringMVC)
文件上传原理
www.v5qq.com的技术博客
04-23 66
表单元素的enctype属性指定的是表单数据的编码方式,该属性有3个值:  1) application/x-www-form-urlencoded:这是默认编码方式,它只处理表单域里的value属性值,采用这种编码方式的表单会将表单域的值处理成URL编码方式。  2) multipart/form-data:这种编码方式的表单会以二进制流的方式来处理表单数据,这种编码方式会把文件域指定文件的内容...
SpringMVC文件上传原理及实现过程解析
08-18
SpringMVC 文件上传原理及实现过程解析 SpringMVC 文件上传是指在基于 SpringMVC 框架的 Web 应用程序中实现文件上传的功能。文件上传是 Web 应用程序中的一个常见需求,例如上传头像、上传附件等。SpringMVC 框架...
Struts2.0文件上传原理
03-17
以下是对Struts2.0文件上传原理的详细解释: 1. **HTTP协议与表单提交** 在HTML表单中,如果需要上传文件,`<form>`标签必须包含`enctype="multipart/form-data"`属性。这是因为普通POST请求无法处理二进制数据,...
文件上传原理学习
08-04
NULL 博文链接:https://username2.iteye.com/blog/2004665
镭速——FTP服务器概念详解
镭速的博客
06-20 897
FTP服务器,全称File Transfer Protocol Server,是在互联网上提供文件存储和访问服务的计算机,它们依照FTP协议提供服务。FTP,文件传输协议(File Transfer Protocol)是用于在网络上进行文件传输的一套标准协议,使用客户/服务器模式。FTP是专门用来传输文件的协议。 FTP是一个客户机/服务器系统,用户通过使用一个支持FTP协议的客户端,连接到远程...
文件上传漏洞原理及技巧
qq_1062290728的博客
02-22 945
本文参考书目<web安全攻防:渗透测试实战指南> 有pdf,若想认真学习请支持正版买本纸质的 参考文档:Upload_Attack_Framework 文档链接:http://www.owasp.org.cn/OWASP_Training/Upload_Attack_Framework.pdf 介绍 上传文件是一种常见的功能,比如一些网站允许用户上传图片、视频、头像和许多其他类型的文...
multipart form-data boundary 说明
weixin_30547797的博客
09-12 1205
含义 ENCTYPE="multipart/form-data" 说明: 通过 http 协议上传文件 rfc1867协议概述,jsp 应用举例,客户端发送内容构造1、概述在最初的 http 协议中,没有上传文件方面的功能。 rfc1867 (http://www.ietf.org/rfc/rfc1867.txt) 为 http 协议添加了这个功能。客户端的浏览器,如 Microsoft IE,...
Spring Multipart工作原理(文件上传服务器)
qq_23834457的博客
07-01 1952
https://huangyongxing310.iteye.com/blog/2321943?tdsourcetag=s_pcqq_aiomsg
MultipartFile上传文件的几种场景
热门推荐
tolode的博客
01-17 5万+
前言: 1:什么是MultipartFile MultipartFile是spring类型,代表HTML中form data方式上传的文件,包含二进制数据+文件名称。 2:什么是transferTo 使用transferTo (本质上还是使用了流 只不过是封装了步骤) ...
.form文件_文件上传基本原理
weixin_39726873的博客
11-22 510
文件上传:数据上传是指客户端向服务器上传数据,客户端向服务器发送的所有请求都属于数据上传。文件上传是数据上传的一种特例,指客户端向服务器上传文件。即将保存在客户端的文件上传服务器中一个副本,保存到服务器中。上传与下载的文件可以是文本文件、图片、声音、视频等各种类型。文件上传的实现:上传表单要求:文件上传要求客户端表单提交特殊的请求,即包含多部分数据的请求。所以文件上传表单对于表单数据的...
java中文件的上传和下载:文件上传和下载原理
Mrs_Wu的博客
10-30 8551
在TCP/IP中,我们知道最早的上传机制为FTP,它是指将文件由客户端发送到服务器的标准机制。然而我们在jsp编程中不能使用FTP来上传文件,这是由于jsp运行机制决定的。                                         文件上传原理     表单提交->二进制编码->Servlet中使用二进制流获取内容 我们需要将表单内容设置为:     Method=”p
任意文件上传漏洞原理
最新发布
10-31
任意文件上传漏洞是一种常见的Web安全漏洞,攻击者可以通过该漏洞在目标服务器上上传恶意文件,从而执行任意代码或获取系统权限。攻击者通常会利用Web应用程序中的文件上传功能,上传包含恶意代码的文件,然后通过访问上传的文件来执行攻击。攻击者可以上传各种类型的文件,包括可执行文件、脚本文件、Web Shell等,这些文件可以用来执行各种攻击,如远程命令执行、文件包含、SQL注入等。任意文件上传漏洞的原理是,Web应用程序没有对上传的文件进行充分的验证和过滤,导致攻击者可以上传包含恶意代码的文件。为了防止任意文件上传漏洞,开发人员应该对上传的文件进行充分的验证和过滤,包括文件类型、文件大小、文件名等。同时,服务器也应该对上传的文件进行检查和过滤,以确保上传的文件不包含恶意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值