上传漏洞攻守之道

最新推荐文章于 2024-03-22 19:19:24 发布
最新推荐文章于 2024-03-22 19:19:24 发布
阅读量454 收藏
点赞数 1
分类专栏: 安全 文章标签: 安全 文件上传
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huaidandaidai1/article/details/124796023
版权

1、 什么是上传漏洞

        上传漏洞是指应用系统在处理用户上传文件时,未对文件进行合法性验证,如文件名、扩展名等。同时如果上传文件的路径、文件名、扩展名成为用户可控数据,就会导致直接上传脚本或木马至系统服务器上,从而使攻击者控制服务器。

2、 上传漏洞的危害

        攻击者上传脚本或木马文件至应用服务器,从而可直接控制服务器。

3、 上传漏洞的防守方法

        上传漏洞的本质是攻击者将非法的文件上传至服务器从而达到攻击的目的。那么防守的本质就是校验上传文件的合法性及上传文件的隔离

        方法如下:

        1、基于对象存储实现文件上传,即确保文件存储的安全性,又能保证隔离性。如各种公有云/私有云的文件储存服务。

        2、禁止将文件(包含各种临时缓存文件)存储在Web应用程序部署目录下。

        3、根据业务需求使用白名单策略限制文件上传后缀名,如业务侧使用excel导入数据时,仅允许用户上传xls、xlsx等excel类型的文件。

        4、禁止上传html、htm、swf等可被浏览器解析的文件。

Java后端文件上传示例

//定义可上传文件后缀白名单
String[] suffixList=newString[]{"xls", "xlsx"};
//定义一个非web目录的文件上传路径
String uploadFilePath="/upload/excel";

//根据入参uploadFileParam获取上传文件名
String fileName=uploadFileParam.getFileName();
// 解析出文件后缀名,并进行字母小写转换
String suffixName=fileName.substring(fileName.lastIndexOf(".") +1,fileName.length()).toLowerCase();

//判断是文件后缀是否在白名单内
if(Arrays.asList(suffixList).contains(suffixName)) {
	// 为上传文件生成随机文件名
	String newFileName=UUID.randomUUID().toString().replace("-", "") +"."+suffixName;
	//写文件并入库
	doWriteFile();
} else {
	//非EXCEL类型文件,禁止处理
	return;
}

      

坏蛋呆呆
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解密京东618大促数据库运维的攻守之道
02-24
1、运维概述2、备战准备3、618进行时4、案例复盘本次分享将围绕数据库运维,从四个部分进行:第一部分先介绍数据库团队运维的概况,接下来通过大促备战准备、618进行时、以及案例复盘这三部分分享,来介绍我们数据库团队完整的备战过程。我们团队三个主要的工作方向:1)数据库运维我们负责京东数科所有业务的数据库运维工作,服务于整个研发团队,保证数据库平稳高效运行。2)自动化智能化运维产品这个产品有一个非常好的根基,所有的需求、功能点都来自线上运维需求,来自我们的痛点。它服务于我们DBA运维人员,致力于提高我们团队整体的运维效率,完善数据库周边的生态服务。3)科技输出把我们在公司内部生产的优质的数据库架
记一次excel XXE漏洞
mingyqf的博客
07-04 1907
​ LSA / 2020-05-21 09:00:16 / 浏览数 20953
文件上传漏洞及防御
最新发布
2301_76717406的博客
03-22 1316
文件上传漏洞是指网站或应用程序中存在的一种安全漏洞,攻击者可以利用该漏洞向服务器上传恶意文件。通过文件上传漏洞,攻击者可以上传包含恶意代码的文件,如Web shell、恶意脚本、恶意软件等,从而获取服务器的控制权或执行恶意操作。这可能导致服务器被入侵、敏感数据泄露、服务拒绝等安全问题。通常,攻击者利用文件上传漏洞来执行远程代码,控制服务器或网站,进而实施更广泛的攻击。
高新刚 - 解密数科数据库运维攻守之道.pdf
06-06
所谓“大数据”,指的是所涉及的数据量规模巨大到无法通过目前主流软件工具,在合理时间内达到截取、管理、处理、并整理成为帮助企业经营决策更积极目的的信息。 大数据处理技术代表了新一代的技术架构,这种架构通过高速获取数据并对其进行分析和挖掘,从海量形式各异的数据源中更有效地抽取出富含价值的信息。
郑喜明:乐天派的攻守之道
08-19
郑喜明:乐天派的攻守之道
APT_攻守道.pdf
08-08
游戏行业是个宝库,上上下下的资源都可以被用来获利,是被黑产重点关照的领域,包括 APT 的行动。本次分享主要从我们遇到的几次真实的 APT 攻击谈起,进而衍生到针对这些挑战我们如何去做整体防护,以及从16年开始建设的零信任架构落地,再到通过平台化的思想去同 APT 对抗的一些思路和过程。 APT攻击案例 APT防护体系 APT检测体系 挑战
文件上传xlsx之XXE漏洞
LAngle9的博客
11-18 1856
1 新建一个excel文件2 修改后缀名为.zip格式3解压缩出文件夹4 文件结构如下,可以进行修改,给excel添加一些功能键可结合VBA添加事件。5修改完成后,全选文件,进行压缩。注:不要选sss文件夹来压缩,要全选文件。6 压缩文件格式选择.zip格式。7产生压缩文件8 修改后缀名9 打开文件成功,看到之前在。excel 修改设置(将excel修改后缀名,解压缩方式)_下雨了620的博客-CSDN博客_excel改为rar后没有xl。使用BURP的dnslog地址看是是否有回显。
记一次xls文件上传导致的反射型XSS
weixin_44820552的博客
03-28 855
跨站脚本攻击(XSS)是指Web程序代码中对⽤户提交的参数未做过滤或过滤不严,导致参数中的特殊字符破坏了HTML页⾯的原有逻辑,攻击者可以利⽤该漏洞执⾏恶意HTML/JS代码、构造蠕⾍、篡改页⾯实施钓鱼攻击、以及诱导⽤户再次登录,然后获取其登录凭证等。跨站脚本攻击分为反射型、存储型、Dom型。此次记录的是反射型跨站脚本。1.xss不能只关注web前端页面输入框2.文件上传点也可以尝试XSS,例如xls或PDF文件(PDF XSS可参考0x05。
Web安全文件上传漏洞详解
hack0919的博客
04-18 3394
文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果
文件上传漏洞绕过技巧
abtgu的博客
03-31 1222
文章目录一、文件上传漏洞介绍二、验证方法与绕过1.1CONTENT-LENGTH验证1.2CONTENT-LENGTH绕过2.1客户端javascript 检测(通常为检测文件扩展名)2.1客户端javascript3. 服务端MIME 类型检测(检测Content-Type 内容)4.分析文件头内容来检查文件类型5.文件加载检测6.限制Web Server对于特定类型文件的行为三、反制 一、文件...
利用EXCEL进行XXE攻击
yggcwhat
05-01 837
利用EXCEL进行XXE攻击
17.文件上传漏洞-后端绕过方法
mingyqf的博客
03-28 1341
文件上传之后端黑白名单绕过】 文件上传常见验证: 后缀名:黑名单、白名单 文件类型:MIME信息 文件头:内容头信息 黑名单:明确不能上传的后缀 php,jsp,asp等 白名单:明确能够上传的后缀 jpg,png,gif等等 文件头: 塒NG:png的文件头 xFFxD8:jpg的文件头 GIF89a:gif的文件头 【文件类型MIME绕过】 数据包中的Content-Type就是MIME,通过格式猜测哪种类型的MIME {".3gp", "video/3gpp"}, {".apk",
【Web安全文件上传漏洞
Rei的博客
08-25 726
前言 上网过程中,我们经常会将一些如图片、压缩包之类的文件上传至文件服务器进行保存。而文件上传攻击指的是攻击者利用一些站点没有对文件的类型做很好的校验,上传了可执行的文件或脚本,并且通过脚本获得服务器上相应的权限,或者是通过诱导外部用户访问下载上传的病毒或木马,达到攻击的目的。 除了上述危害,我们还需防止用户将文件服务器当成免费的网盘无限制上传文件。 解决方案 文件类型白名单校验(仅允许部...
[应用漏洞]KindEditor<=4.1.5 文件上传漏洞利用
不忘初心,护天下安全!
07-23 2526
一、KindEditor KindEditor是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果 二、漏洞介绍 影响版本:KindEditor3.5.2~4.1 简介:Kindeditor能够上传doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2,wps,pdf格式文件。支持 Java、.NET、PHP、ASP等程序。 漏洞存在证明: 根本脚本语言自定义不同的上传地址,上传之前有必要验证文件 upload_jso...
任意文件上传漏洞,添加白名单校验
apple_pingwan的博客
01-13 1169
为解决任意文件上传漏洞,添加白名单校验文件后缀名。1)添加配置文件。 2)添加白名单校验方法。3)在文件上传接口中,调用白名单校验接口。
文件上传漏洞是什么?要怎样防御文件上传漏洞攻击?
热门推荐
Mr.ROBOT
03-16 1万+
文件上传漏洞是什么?怎样防御文件上传漏洞攻击?文件上传漏洞是web安全中经常利用到的一种漏洞形式。这种类型的攻击从大的类型上来说,是攻击 数据与代码分离原则 的一种攻击。 一些web应用程序中允许上传图片,文本或者其他资源到指定的位置,文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,再通过url去访问以执行代码 造成文件上传漏洞的原因是 对于上传文件的后缀名(扩展名)没有做较
安全文件上传、下载漏洞
weixin_51446936的博客
06-09 1678
一、不安全的文件下载漏洞概述 概述: 很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件 但是,如果文件下载功能设计不当,则可能导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他的敏感文件(又称:任意文件下载) 防范措施: 对传入的文件名进行严格的过滤和限定 对文件下载的目录进行严格的限定 二、不安全的文件下载漏洞测试 打开pikachu的测试环境,我们发现好多球星,这里提示我们,点击球员的名字可以下载 右击球员的名字,选择新建标签页打开链接 下载的同时看到了下载
文件上传漏洞(思路,绕过,修复)
qi_SJQ_的博客
12-21 7045
文件上传漏洞: 1.思维导图: 2.上传思路: 3.概念: 4.黑白名单绕过:
nba上半场大小技巧
01-15
1. 打好攻守转换:在进攻端迅速反击转换为防守时,球队可以寻找快速突破和快准三分球的机会,借此增加得分,并将压力转移到对手身上。 2. 运用快攻:通过快速推进球的速度和找到团队中跑动快速的球员,球队可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值