- 博客(12)
- 收藏
- 关注
RSS订阅原创 文件上传保护措施
1. **文件类型检查**:限制允许上传的文件类型,只接受特定类型的文件,避免上传可执行的文件(如PHP、ASP等脚本文件)或其他可能具有安全风险的文件类型。3. **文件名处理**:不要直接使用用户提供的文件名,而是对文件名进行适当的处理(如重命名、使用安全的命名规则),避免恶意文件名导致的安全问题。通过以上安全措施,可以加强文件上传功能的安全性,减少潜在的安全风险。6. **及时清理文件**:定期清理服务器上的上传文件,删除不再需要的文件,避免恶意文件长时间存留在系统中产生安全隐患。
2024-05-09 14:38:07
443
1
原创 有关文件包含漏洞
为防止文件包含漏洞,开发者应该对用户输入进行充分验证和过滤,确保动态包含文件时使用严格的白名单机制,避免使用动态包含信息。文件包含漏洞是一种常见的Web应用程序安全漏洞,通常出现在网站中动态包含文件的功能中。- **远程文件包含漏洞(RFI)**:攻击者利用应用程序远程包含文件的功能,引入恶意的远程文件执行。- **本地文件包含漏洞(LFI)**:攻击者通过包含本地文件路径,读取系统敏感文件内容。- **动态文件包含漏洞**:程序在包含时没有做足够的验证导致的漏洞。
2024-05-09 14:36:13
239
2
原创 文件包含漏洞和Webhell的概念
文件包含漏洞是一种Web应用程序安全漏洞,攻击者通过未正确过滤用户输入而使恶意用户能够在应用程序的代码中执行恶意代码。文件包含漏洞通常出现在Web应用程序中,攻击者可以在URL参数或其他用户可控制的输入中注入恶意文件路径或代码,达到读取敏感文件、执行任意代码或获取系统权限的目的。Webshell是一种恶意的代码文件,通常由攻击者上传到受影响的Web服务器上。通过Webshell,攻击者可以远程控制服务器、获取敏感信息、破坏网站等。攻击者通常利用Webshell获取对目标服务器的控制权限,甚至将其用。
2024-04-18 22:25:27
291
原创 FTP和SFTP的区别HTTP和HTTPS的区别
HTTPS使用443端口进行连接,通过SSL/TLS加密来确保数据传输的机密性和完整性,有效防止窃听、中间人攻击和数据篡改等安全威胁。SFTP(SSH File Transfer Protocol)是基于SSH(Secure Shell)协议的一种安全的文件传输协议,通过加密通道传输数据,保证数据传输的安全性和机密性。SFTP使用22端口进行连接,支持加密、认证和数据完整性校验,是一种更安全的文件传输方式。FTP是明文传输,包含用户名、密码和文件信息等都以明文形式传输,存在安全风险。
2024-04-18 22:21:23
389
原创 有关web安全的几个漏洞
上传攻击是一种网络安全攻击,攻击者利用应用程序允许用户上传文件的功能,上传包含恶意代码的文件,以获取系统控制权限或执行恶意操作。安全的上传功能应该对上传的文件类型、大小和内容进行限制,并对上传的文件进行检查和验证。跨站脚本攻击(Cross Site Scripting,XSS)是一种常见的Web安全漏洞,攻击者通过向网页注入恶意客户端脚本,使用户在浏览器中执行这些恶意脚本。SQL注入是一种常见的Web应用程序安全漏洞,攻击者利用用户在输入框中提交恶意的SQL代码,以欺骗应用程序执行恶意的SQL查询或命令。
2024-04-15 22:13:04
7
原创 密码学rsa的算法加密解密
rsa基本原理:将两个大素数相乘十分容易,但对其乘积进行因式分解却极其困难,因此可以将乘积作为加密密钥公开。p和q:人为选定的大素数,要求(p-1)(q-1)与e互质公钥(Ne):N=p*q。私钥(N,d):d*e=1(mod(p-1)(q-1))在求这个mod时可以使用中国剩余定理来计算。rsa是非对称密码算法是有公钥和私钥的。加密:c(m) = m^e mod N。解密:m(c) = c^d mod N。
2023-07-04 13:17:11
101
1
原创 CTF 篱笆墙上的影子
篱笆=栅栏所以这是一个栅栏密码一般常见的是两栏栅栏密码那我们就试一下看看分成两栏能不能解开最终我们发现解出来是wethinkwehavetheflag这是一个句子所以是能解出来有效信息的。
2023-06-30 11:56:26
260
原创 CTF password解密
刚好zs+19900315是八位数那么密码就是zs+19900315。然后看key的格式八个x而且生日是六位数那张三拼音缩写zs。
2023-06-30 11:49:56
481
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人