Exploiting flawed validation of file uploads 利用有缺陷的文件上传验证

最新推荐文章于 2024-10-18 19:15:00 发布
最新推荐文章于 2024-10-18 19:15:00 发布
阅读量180 收藏 3
点赞数 3
分类专栏: WebSecurityAcademy 文章标签: web安全 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jamesP777/article/details/138791836
版权

通常,网站不会像上个实验那样,对文件上传攻击不做任何防护 。但是仅仅使用防护措施并不意味着就足够了。有时候可以利用文件上传的缺陷来获取web shell

Flawed file type validation 文件类型验证有缺陷

当提交HTML表单时,浏览器会将要提交的数据放到内容类型设置为'application/x-www-form-url-encoded' 的POST请求中发送给服务器。这个可以很好的用来发送姓名、地址等简单的文本数据。但是用来发送大量的二进制数据的时候就不适用了,比如发送图片或PDF文档。发送这些文件的时候,内容类型就需要设置为'multipart/form-data'。

如果一个表单用来提交图片和你的用户名,可能长这个样子

POST /images HTTP/1.1 Host: normal-website.com Content-Length: 12345 Content-Type: multipart/form-data; boundary=---------------------------012345678901234567890123456 ---------------------------012345678901234567890123456 Content-Disposition: form-data; name="image"; filename="example.jpg" Content-Type: image/jpeg [...binary content of example.jpg...] ---------------------------012345678901234567890123456 Content-Disposition: form-data; name="description" This is an interesting description of my image. ---------------------------012345678901234567890123456 Content-Disposition: form-data; name="username" wiener ---------------------------012345678901234567890123456--

 

 可以看到,消息体中每个表单的输入被相互分成独立的部分,每部分都包含一个’Content-Disposition‘头,声明了输入内容的基本信息。每部分还可能包含自己的’Conten-Type‘头,向服务器声明这部分输入的MIME类型。

网站可能通过检查'Content-Type'头是否匹配MIME类型来进行文件上传验证。问题在于服务器默认信任’Content-Type'头,如果不进行进一步验证,检查文件的内容是否确实和MIME类型匹配的话,这种防护可以很轻松的使用Burp Repeater绕过。

jamesP777
关注
专栏目录
Lab: Exploiting XXE via image file upload :通过上传图片文件利用 XXE
Zeker62的博客
08-26 434
通过文件上传的 XXE 攻击 一些应用程序允许用户上传文件,然后在服务器端进行处理。一些常见的文件格式使用 XML 或包含 XML 子组件。基于 XML 的格式的示例是办公文档格式(如 DOCX)和图像格式(如 SVG)。 例如,应用程序可能允许用户上传图像,并在上传后在服务器上处理或验证这些图像。即使应用程序希望接收 PNG 或 JPEG 等格式,所使用的图像处理库也可能支持 SVG 图像。由...
Exploiting the Circulant Structure of Tracking-by-detection with Kernels 笔记
carrierlxksuper的专栏
12-16 3586
这是一篇ECCV2014年的paper,在这篇paper中作者提出了kernelized correlation filter,并将其应用到了tracking中,从而有了15年PAMIN的那篇文章,我再之前博客中也记录过 http://blog.csdn.net/carrierlxksuper/article/details/46461245 这篇文章的公式推导比较复杂,感兴趣的可以去看看
StyleMapGAN: Exploiting Spatial Dimensions of Latent in GAN for Real-time Image Editing(2021)
studyeboy的专栏
05-07 2324
[paper] Exploiting Spatial Dimensions of Latent in GAN for Real-time Image Editing [code] StyleMapGAN 摘要 生成对抗网络(GAN)从随机潜在向量合成逼真的图像。尽管操纵潜矢量控制了合成输出,但是用GAN编辑真实图像的缺点是:i)耗时的优化,无法将真实图像投影到潜矢量; ii)或通过编码器嵌入不准确。我们提出StyleMapGAN:中间潜在空间具有空间维度,而空间变异调制取代了AdaIN。与现有的基于优化的
StyleMapGAN: Exploiting Spatial Dimensions of Latent in GAN for Real-time Image Editing | 翻译笔记
专注于AI领域前沿技术学习与分享:目标检测、图像修复、超分重建、AI工程化
07-12 1132
StyleMapGAN 继 StyleGAN2 发扬光大 https://github.com/naver-ai/StyleMapGAN https://arxiv.org/pdf/2104.14754.pdf 相关实验【预训练模型测试】 StyleMapGAN: Exploiting Spatial Dimensions of Latent in GAN for Real-time Image Editing | 测试实验记录【一】 StyleMapGAN | celeba_hq 风格迁移 - .
Exploiting the Circulant Structure of Tracking-by-detection with Kernels(CSK)
Perfect_Accepted
12-07 1433
Exploiting the Circulant Structure of Tracking-by-detection with Kernels [paper] [code] 目标跟踪CSK代码出自ECCV2012,其主要的贡献是在MOSSE的基础上使用了核函数,同时证明了核函数是循环矩阵,通过循环矩阵可以实现密集采样。 预备知识 MATLAB自带插值方法介绍-MATLAB的imresize函数...
Lab: Exploiting cross-site scripting to steal cookies:利用XSS窃取Cookie
Zeker62的博客
08-24 738
靶场内容 本实验包含博客评论功能中的存储型 XSS漏洞。一个模拟的受害者用户在发布后查看所有评论。为解决实验室,利用该漏洞窃取受害者的会话cookie,然后使用该cookie来冒充受害者。 注意 为了防止 Academy 平台被用来攻击第三方,我们的防火墙会阻止实验室与任意外部系统之间的交互。要解决实验室问题,您应该使用 Burp Collaborator 的默认公共服务器 ( burpco...
阅读笔记:Exploiting High-Level Semantics for NR Image Quality Assessment of Realistic Blur Image
haiyanyanya的博客
03-31 3602
摘要: 针对这一问题,我们利用高级语义学,提出了一种新的对于真实模糊图像的无参考图像质量评价方法。1.将整个图像分成多个不重叠的补丁;2.每个补丁由从训练好的DCNN模型提取高级语义特征;3.采用三种不同的统计结构对来自不同的补丁信息进行统计,主要包含一切常见的统计方法;4聚集的特征作为线性回归模型的输入预测图像质量。 1.提出的方法 图像表示、特征提取、特征聚合和质量预测 1.1图像表示 预先训练的 dcnn 模型(例如 alexnet)需要一个固定的输入大小。为了满足这个要求,图像可以裁剪,.
目标跟踪系列十一:Exploiting the Circulant Structure of Tracking-by-detection with Kernels代码思路
热门推荐
ikerpeng
10-17 1万+
这篇文章很赞啊!很有必要将其好好的学习,今天首先记录
浅析php文件包含及其getshell的姿势
weixin_50464560的博客
05-29 1925
0x1 前言  不管平时在打ctf或者代码审计的过程中,文件包含都是很薄弱、很常见的点,一般的开发人员可能觉得文件包含没有什么大问题,低估其造成的危害,我一个ctf爱好者也是这么认为的,直到最近打了几场ctf都出现了文件包含的点,然后被暴虐,才发现文件包含的利用面很广,所以就此打算写篇文章来记录下自己的学习过程。 0x2 认识和了解包含函数  PHP里面共有4个与文件包含相关的函数,分别是: include require include_once require_once 查看相关函数的文档了解他们
Exploiting the homomorphic property of visual cryptography
02-08
另外,“ISCA Journal of Digital Crime and Forensics”指的是这篇文章发表的期刊,它可能专门关注数字犯罪调查和取证学,这意味着该研究可能具有一定的实践应用背景,特别是与数字犯罪和取证有关的应用场景。...
Environmental issues and countermeasures in exploiting water resources of rivers (2006年)
04-23
Based on affirming the tremendous benefits that water resources of rivers can provide in their exploitation, main environmental problems and their countermeasures have been proposed and analyzed in ...
Lab: Exploiting XXE using external entities to retrieve files:利用外部实体利用 XXE 来检索文件...
Zeker62的博客
08-26 288
利用XXE检索文件 要执行从服务器的文件系统中检索任意文件的 XXE 注入攻击,您需要通过两种方式修改提交的 XML: 引入(或编辑)DOCTYPE定义包含文件路径的外部实体的元素。 编辑应用程序响应中返回的 XML 中的数据值,以使用定义的外部实体。 例如,假设购物应用程序通过向服务器提交以下 XML 来检查产品的库存水平: <?xml version="1.0" encoding="U...
网数中心举办CISAW安全软件教师培训 助力国家网络安全战略
qq_44969472的博客
10-15 340
他强调,CISAW安全软件人员认证应立足我国软件安全开发的特色,以服务国家网络安全战略布局为核心,通过认证结果不断带动人员能力提升,聚焦行业需求、热点和难点问题,进一步完善创新发展体系。我们相信,随着CISAW认证体系的不断完善和发展,必将为我国信息安全领域输送更多优秀的人才,助力国家信息安全事业迈上新的台阶。这一环节得到了大家的一致好评,许多教师表示,通过实际操作,他们不仅巩固了所学知识,还获得了更多的实战经验。他表示,通过这次培训,大家不仅学到了最新的技术和理念,更重要的是,明确了未来努力的方向。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-15 1175
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2024年网络安全进阶手册:三个月黑客技术自学路线
最新发布
2401_85027336的博客
10-18 333
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2024年网络安全(黑客技术)三个月自学手册
csbDD的博客
10-18 406
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络攻击的新趋势:勒索软件与零日漏洞
A526847的博客
10-12 1012
随着数字化技术的飞速发展网络攻击的新趋势:勒索软件与零日漏洞,网络攻击的形式也在不断演变。近年来,勒索软件和零日漏洞已成为网络攻击中的两大新趋势,给个人、企业和政府机构带来了巨大的安全威胁。本文将深入探讨这两种网络攻击手段的特点、危害以及防范措施。
防御入侵:揭示漏洞被利用的设计缺陷-藏经阁专家讲解
In the presentation "They're Coming for Your Tools: Exploiting Design Flaws for Active Intrusion Prevention" at the "藏经阁" conference, speaker John Ventura, a former ISS X-Force Penetration Tester ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值