web项目---webShell漏洞

最新推荐文章于 2024-07-28 21:40:32 发布
最新推荐文章于 2024-07-28 21:40:32 发布
阅读量2.2k 收藏 1
点赞数

      最近公司产品在现场发现了一个名叫webShell的漏洞, 也不知道它是用什么软件检测出来的。但是总得解决啊,就在网上搜有关资料,发现关于这些漏洞方面的还挺有意思的。下面是搜索网上找到的一些解决办法。

  • 让保存上存目录独立开来,目录权限只读不能执行

这一步从系统设计加以授权,无论你上次什么文件,都不可能执行到。就算我不做任何检测,你的文件都上存到这里了,也不会对我系统构成安全。(如果有用户上存一些反动言语的图片,那另外需要处理的)

 

  • 不直接使用服务器传入值,所有都要进行检测

这类跟我们做一切输入都是有害原则一样,对于客户端传入的:type, name ,都要进行判断,不直接使用。对于要生成到某个目录,某个文件名。

文件名最好方法是:自己写死目录(不要读取传入目录),文件名,最好自己随机生成,不读取用户文件名。文件扩展名,可以取最右边”.”后面字符。

以上2个方法,刚好从2个方面对上存做了整体约束。

方法2 : 保存上存文件名,按照自己指定目录写入,并且文件名自己生成的。

方法1:只要保证文件写对了位置,然后从配置上,对写入目录进行权限控制,这个是治本。可以做到,你无论上存什么文件,都让你没有权限跳出去可以运行。

 

以上2个方法,一起使用,可以保证文件正确存到地方,然后,权限可以控制。 这里顺便说明下, 判断用户上存文件是否满足要求类型,就直接检查文件扩展名,只要满足扩展名就让上存。 反正,做了执行权限限制,你不按要求上存内容,也无妨。 反正,不能执行,也不会有多大危害性的。

  • 正确步骤:

1.读取文件名,验证扩展名是不是在范围内

2.自己定义生成的文件名,目录,扩展名可以来自文件名扩展名。 其它值,都自己配置,不读取上存中内容

3.将文件 移到新目录(这个目录权限设置只读)

转载于:https://www.cnblogs.com/chengmo/archive/2013/06/05/php-5.html

 

一些其他常规漏洞和解决办法:https://blog.csdn.net/qq_32434307/article/details/82148546

爱偷懒的雄鹰
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一个WEB漏洞扫描系统的设计与实现(一)
lixunbao的专栏
12-21 3675
一个WEB漏洞扫描系统的设计与实现(一)一、关于我以及本文的背景    文章的标题有点唬人的味道。    首先,作为一个毕业还不到3年的普通本科生,我还没修炼成为WEB安全方面的行家;其次,作为一个总代码行数还不到5万的平凡开发人员,我也不是系统设计方面的能手。但是毕业后我到了一家大型的互联网公司,做了一段时间的WEB安全方面的工作,也确实积累了一些经验和心得,我是想借此机会来好好总结一番的。
计算机毕业设计PHP常见Web漏洞对应PC应用系统(源码+程序+VUE+lw+部署)
java毕设程序源码王哥
01-25 302
该项目含有源码、文档、程序、数据库、配套开发软件、软件安装教程。欢迎交流项目运行环境配置:。项目技术:原生PHP ++ Vue 等等组成,B/S模式 +Vscode管理+前后端分离等等。环境需要1.运行环境:最好是小皮phpstudy最新版,我们在这个版本上开发的。其他版本理论上也可以。2.开发环境:Vscode或HbuilderX都可以。推荐HbuilderX;3.mysql环境:建议是用5.7版本均可4.硬件环境:windows 7/8/10 1G内存以上;
[yotroy.cool]自己搭建一个web漏洞练习平台,适合各水平用户使用
Troy_Zhang1112的博客
11-24 2423
前言:学习了一些理论和技能怎么能少了实践呢?自己搭建一个漏洞联系平台吧 ============================================================ 这是我自己搭建的漏洞练习平台(自己弄的空间和域名),先附上地址:https://www.phorg.cn/ 使用的Pikachu漏洞靶场系统,官网我找不到了。。。 Pikachu是一个带有漏洞Web应用系...
【CTFHub】文件上传漏洞详解!
最新发布
muyuchen110的博客
07-28 994
又称一句话木马。WebShell就是以网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。 WebShell根据不同的语言分为:ASP木马、PHP木马、JSP木马(上传解析类型取决于网站服务端编写语言类),该类木马利用脚本语言中 可以执行系统命令、代码命令的函数 进行文件读取、命令执行、代码执行等功能。一旦将Webshell上传到服务器被脚本引擎解析,攻击者就可以实现控制获取到网站服务器的权限。 文件
WEBshell与文件上传漏洞
LJH1999ZN的博客
02-19 4792
一、文件上传漏洞的原理 如果web应用程序对上传文件的安全性没有过滤和校验,攻击者可以通过上传webshell恶意文件对服务器进行攻击 。 二、文件上传的原理 1.有文件上传功能 2.上传文件的目录能解析脚本文件 3.能访问到上传的文件 三、文件上传攻击 文件上传防护和绕过手段 1.文件上传漏洞--绕过前端js检测 由于网站客户端对文件的上传类型做了限制,不允许我们上传.php文件,我们可以通过bp抓取发送数据包,然后将数据包做改变即可 ...
054 webshell介绍与文件上传漏洞
鸡蛋炒鸡蛋
03-24 7151
文章目录
第30天:WEB漏洞-RCE代码及命令执行漏洞全解1
08-03
**WEB漏洞-RCE代码及命令执行漏洞全解** 在Web应用程序的开发过程中,为了实现功能的多样性与便捷性,程序员常常会使用代码调用或命令执行功能。然而,这种做法也可能带来严重的安全风险,即代码执行(RCE,Remote ...
webshell-detect
10-16
webshell-detect】是一款专为Kali Linux设计的工具,用于检测Web服务器中的恶意Webshell文件。在网络安全领域,Webshell是指攻击者在成功入侵网站后上传的后门程序,通常用作远程控制和窃取数据的通道。了解如何在...
第26天:WEB漏洞-XSS跨站之订单及Shell箱子反杀记1
08-03
XSS(Cross-site scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在用户浏览器上注入恶意脚本。这些脚本可以劫持用户会话、盗取Cookie、操纵页面内容,甚至进行更复杂的攻击。在本文中,我们将深入探讨...
009-Web安全基础5 - 文件处理漏洞.pptx
10-22
【文件处理漏洞】是Web应用程序安全中的一个重要话题,主要涉及两个方面:任意文件上传和任意文件下载。这两种漏洞都可能导致严重的安全风险,让攻击者能够操控服务器或获取敏感信息。 **任意文件上传漏洞**通常...
提权漏洞集锦asp webshell
06-17
集合了所有windows服务器提权漏洞 方便站长进行自我审计
常见的web漏洞及其防范
热门推荐
恒之传说
08-04 1万+
一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下,SQL注入的位...
Web漏洞扫描器的设计与实现(一)
蚁景网安学院
12-17 3921
01前言毕业设计给自己挖了个巨坑,虽然这个设想从我大二开始就已经有了一个大概的模型,但是实际实现起来与想象之中还是有很大的区别,特别是在漏洞报告准确度,与及速度方面有一些比较难的取舍,所...
web漏洞演练_开发人员的想法:简单Web应用程序背后的规划和设计演练
cumian9828的博客
08-10 349
web漏洞演练I love the number of awesome tutorials there are on how to make different web apps. As great as these are, though, I often felt stuck when it came to starting my own web apps. 我喜欢关于如何制作不同的Web应...
Web漏洞环境搭建
weixin_45906533的博客
07-06 342
PhpStudy+DVWA环境 搭建 phpstudy 2016下载地址: 下载地址,点击跳转 下载完之后,将东西解压到C盘里的web目录 在这个目录里找一个phpStudy可执行程序,双击打开运行程序 然后下载DVWA 下载地址 下载完以后,将其解压缩,然后拖动www网站根目录里 接着修改配置文件内容 路径:C:\web\WWW\DVWA\config 配置文件:config.inc.php.dist 打开方式以记事本打开,修改mysql的用户和密码,因为是刚安装好的phpstudy,所以默认用
如何编写优秀的 Web 漏洞 PoC
大河之犬的博客
04-17 826
POC(Proof of Concept),直译为“概念证明”(漏洞证明)它可能仅仅只是一小段代码,功能也比较简单,只要能够用来验证某一个或者一类漏洞真实存在即可大家都很清楚,如果想要验证一个漏洞,我们需要针对这个漏洞进行一系列的探索和研究。漏洞的研究报告漏洞的 PoC(概念性验证):可以简单理解为一段可以验证一个目标是否存在这个漏洞的程序/代码/脚本漏洞的利用方式:对这个漏洞造成危害的利用和实践为了解决速度问题,可以尝试在漏洞检测之前编写简单的指纹识别,筛除一些不合理的目标🏏POC框架?
网络安全1.WEB漏洞环境搭建与命令执行DVWA搭建
凌凌1301的博客
04-29 2427
首先,这个教程没有太多废话,直接开始 测试工具: https://github.com/digininja/DVWA PHPStudy: https://www.xp.cn/ 测试工具下载源码,phpstudy下载默认的就行,安装好后进入phpstudy的路径,解压DVWA 然后点击phpstudy里的启动,在浏览器输入127.0.0.1/DVWA 第一次会进入setup.php这个界面,点击页面最底下的创建数据库,然后等待一会儿 我们点击DVWA安全,然后点击提交,之后进行测试 我们切换到这个界面
Webshell
鱼珊珊
09-02 1302
Webshell: 通过一定途径将webshell上传至服务器具有执行权限(必须要有执行权限才可以,没有执行权限是没有用的)的WEB目录下。远程访问webshell实现控制服务器的目的。 常见的上传方法有直接上传、解析漏洞上传、截断上传等 直接上传: 某些网站未对上传文件类型和内容做校验、因此可以直接上传webshell文件。 Eg:用户管理上传用户照片。可以上传文件。利用黑名单白名单上...
利用Web文件上传漏洞获取Webshell的实战教程
在"web网站文件上传漏洞和攻击-运维安全详细笔记"中,本文详细探讨了Web应用中的文件上传漏洞及其潜在威胁。文件上传漏洞是指网站设计时未能正确验证用户上传的文件类型或内容,这可能导致恶意用户上传恶意脚本或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值