WEB安全性测试之文件上传漏洞

最新推荐文章于 2024-06-06 09:55:15 发布
最新推荐文章于 2024-06-06 09:55:15 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: 基础用例 文章标签: 测试工程师
原文链接:https://www.cnblogs.com/orangezhangzz/p/11746646.html
版权

**

WEB安全性测试之文件上传漏洞

**

1、漏洞描述:

文件上传漏洞,是指可以利用WEB上传一些特定的文件包含特定代码如(<?php phpnfo;?> 可以用于读取服务器配置信息。上传成功后可以点击)
上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是web中最为常见的一种功能需求,关键是文件上传之后服务器端的处理、解释文件的过程是否安全。一般的情况有:
1、上传Web脚本语言,服务器的WEB容器解释并执行了用户上传的脚本,导致代码执行,篡改主页
2、上传Flash策略文件crossdomain.xml,以此来控制Flash在该域下的行为。
3、上传病毒、木马文件,攻击者用以诱骗用户或管理员下载执行,放置后门<?php system($ ['cmd']); ?>
4、上传钓鱼图片或包含了脚本的图片,某些浏览器会作为脚本执行,实施钓鱼或欺诈。
5、创建服务器用户,查看服务器信息 (使用net user 命令)

2、检测条件

1、已知Web网站在登录前或者登录后具有上传页面。
2、上传的文件具备可执行性或能够影响服务器行为,所以文件所在的目录必须在WEB容器覆盖的路径之内。
3、用户可以从WEB上访问这个文件,从而使得WEB容器解释执行该文件。
4、上传后的文件必须经过安全检查,不会被格式化、压缩

3、检测方法

上传方式根据不同的web语言,检测方法也各式各样,以下列举基于JS验证的上传的几种常见的文件上传绕过方法:
1、我们直接删除代码中onsubmit事件中关于文件上传时验证上传文件的相关代码。F12前端修改即可。
2、直接更改文件上传JS代码中允许上传的文件扩展名你想要上传的文件扩展名。
3、使用本地提交表单即可,作相应的更改。
4、使用burpsuite或者是fiddle等代理工具提交,本地文件先更改为jpg,上传时拦截,再把文件扩展名更改为asp即可。
5、当然也有不是基于JS验证的上传,例如一些中间件IIS,Nginx,PHP,FCK编辑器等等的解析漏洞,其上传绕过方式也是多种多样。通过对上传页面进行检查,常见的文件上传检查针对文件类型进行,可以使用手动修改POST包然后添加%00字节用于截断某些函数对文件名的判断。除了修改文件名来绕过类型检查外,还可以修改文件头来伪造文件头,欺骗文件上传检查。

以上为几种常见的上传,更多的还需自行研究,进行上传绕过。以下为总体的测试流程:

1、登陆网站,并打开文件上传页面。
2、点击“浏览”按钮,并选择本地的一个JSP文件(比如hacker.jsp),确认上传。
3、如果客户端脚本限制了上传文件的类型(比如允许gif文件),则把hacker.jsp更名为hacker.gif;配置HTTP Proxy(burp)进行http请求拦截;重新点击“浏览”按钮,并选择hacker.gift,确认上传。
4、在WebScarab拦截的HTTP请求数据中,将hacker.gif修改为hacker.jsp,再发送请求数据。
5、登陆后台服务器,用命令find / -name hacker.jsp查看hacker.jsp文件存放的路径。如果可以直接以Web方式访问,则构造访问的URL,并通过浏览器访问hacker.jsp,如果可以正常访问,则已经取得WebShell,测试结束。如果hacker.jsp无法通过web方式访问,例如hacker.jsp存放在/home/tmp/目录下,而/home/tomcat/webapps目录对应http://www.example.com/,则进行下一步。
6、重复1~3,在burp拦截的HTTP请求数据中,将hacker.gif修改为…/tomcat/webapps/hacker.jsp,再发送请求数据。
在浏览器地址栏输入http://www.example.com/hacker.jsp,访问该后门程序,取得WebShell,结束检测。

4、修复方案

针对文件上传漏洞的特点和必须具备的三个条件,我们阻断任何一个条件就可以达到组织文件上传攻击的目的:
1、最有效的,将文件上传目录直接设置为不可执行,对于Linux而言,撤销其目录的’x’权限;实际中很多大型网站的上传应用都会放置在独立的存储上作为静态文件处理,一是方便使用缓存加速降低能耗,二是杜绝了脚本执行的可能性;
2、文件类型检查:强烈推荐白名单方式,结合MIME Type、后缀检查等方式(即只允许允许的文件类型进行上传);此外对于图片的处理可以使用压缩函数或resize函数,处理图片的同时破坏其包含的HTML代码;
3、使用随机数改写文件名和文件路径,使得用户不能轻易访问自己上传的文件;
4、单独设置文件服务器的域名;
5、通过后缀名过滤
6、通过二进制来判断文件类型
7、修改服务器核心参数,禁止脚本引擎运行系统命令

客气__
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
检测上传文件的类型,确保安全(代码)
02-04
限制上传文件类型,即使改过后缀名也可检测出来
第3章 3.WEB安全性测试--文件上传漏洞.mp4
05-08
第3章 3.WEB安全性测试--文件上传漏洞.mp4
web漏洞文件上传
小白的博客
04-12 155
漏洞概述 文件上传Web应用的必备功能之一, 比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站等。如果服务器配不当或者没有进行足够的过滤,Web用户就可以上传任意文件,包括恶意脚本文件、 exe程序等,这就造成了文件上传漏洞漏洞成因 对上传文件没有足够过滤 服务器配置不当 开发时过滤不严格 漏洞危害 传任意文件,包括恶脚本、程序 如果Web服务器所保存.上传文件的可写目录具有执行权限,那么就可以直接上传后门文件,导致网站沦陷。如果攻击者通过其他漏洞进行提权操作,拿到系统理权限
安全测试 之 安全漏洞:FileUpload
最新发布
Orange_hhh的博客
06-06 224
FileUpload 即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞
常见Web安全漏洞测试方法
VN520的博客
04-20 991
1、永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式或限制长度;对单引号和双"-"进行转换等。2、永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。3、永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。4、不要把机密信息直接存放,加密或者Hash掉密码和敏感的信息。5、应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
常见Web漏洞的修复建议手册
Websec
11-24 3051
漏洞类型 修复建议 明文传输 1、需要对密码字段进行md5+salt(aes/rsa等不可逆算法)加密 用户名枚举 1、建议对接口登录页面的判断回显信息修改为一致:用户名或密码错误(模糊提示)。 用户名暴力破解 1、账户锁定 账户锁定是很有效的方法,因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为,那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。
WEB渗透——文件上传漏洞(一)
果子哥丶的博客
03-13 1034
文件上传漏洞(一) 环境准备: OWASP_Broken_Web_Apps —— 靶机 Kali_Linux-2018.2-vm-amd64 —— 攻击机 文件上传漏洞原理: 制作PHP文件——一句话木马 chopper就是密码 利用文件上传漏洞,原本是要求上传image,但却可以上传PHP文件。上传成功后在网页加载该文件,将 …/…/hackable/uploads/Xshell....
Web系统的安全性测试之文件和目录测试
02-24
Web系统的安全性测试包括以下内容:(1)Web漏洞扫描(2)服务器端信息测试(3)文件和目录测试(4)认证测试(5)会话管理测试(6)权限管理测试(7)文件上传下载测试(8)信息泄漏测试(9)输入数据测试(10)跨站脚本攻击测试(11)...
WEB安全性测试测试用例(基础)
06-06
### WEB安全性测试测试用例(基础) #### 一、输入验证 输入验证是Web安全测试中的一个重要环节,它主要关注用户提交的数据是否符合预期的格式和类型,旨在防止恶意数据被提交到系统中,造成安全漏洞。以下是几种...
web安全性测试 共8讲
04-11
Web安全性测试是保护在线应用程序免受恶意攻击的关键环节。在这个8讲的系列中,我们将深入探讨几种最常见的Web安全威胁,并了解如何检测和防止这些威胁。以下是各讲的主要内容: 第一讲:Web安全性测试介绍 这一讲...
一个简单的Web渗透(文件上传漏洞
JYLCG的博客
05-08 1580
原文链接 本篇文章仅供学习参考,切勿用作非法用途。 进入正题 本来想写的粗略一点,但是回想起来自己当初学习的时候,一个小问题都能纠结半天,所以本白决定从开天辟地开始写起,今天这个渗透是利用文件上传漏洞,这里采用最广泛的头像上传图片的漏洞进行渗透。首先渗透肯定是需要工具的,所以您需要准备以下工具: 1:burp ...
文件上传漏洞方法总结
qq_62886656的博客
04-24 4889
文件上传漏洞 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令 的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传 后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 一 客户端绕过 可以通过禁用js来上传php文件 通过利用 burp 抓包改包,先上传一个 png类型的木马,然后通过 burp 将其改为php 后缀名即可 二 服务端绕过 (1) 黑名单扩展名绕过
学习笔记文件上传漏洞原理
明哥哥知识分享
08-19 1837
一、文件上传漏洞概念 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 二. 造成文件上传漏洞的原因 1 对于上传文件的后缀名(扩展名)没有做较为严格的限制 2 对于上传文件的MIMETYPE(用于描
文件上传漏洞原理与利用
cangyu51462的博客
05-15 1243
文件上传漏洞原理与利用
Web安全——文件上传漏洞原理讲解
weixin_44791273的博客
09-26 1472
一、 基础知识 Web应用程序在处理用户上传的文件操作时,如果用户上传文件的路径、文件名、扩展名成为用户可控数据,就会导致直接上传脚本木马到web服务器上,直接控制web服务器。 上传——>访问——>解析——>防护 文件上传功能本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 01 造成恶意文件上传的原因 (1)文件上传时检查不严 比如应用在文件上传时根本没有进行文件格式检查,导致攻击者可以直接上传恶意文件。 或应用仅仅在
攻防:文件上传漏洞的攻击与防御
weixin_34357887的博客
03-10 958
不少系统管理员都有过系统被上传后门,木马或者是网页被人篡改的经历,这类攻击相当一部分是通过文件上传进行的。入侵者是如何做到这些的,又该如何防御,本文以PHP脚本语言为例,简要介绍文件上传漏洞,并结合实际漏洞演示如何利用漏洞进行上传攻击。 一、 文件上传漏洞WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebSh...
文件上传下载测试
software_test010的博客
06-29 3202
1、路径是否可以手工输入2、上传文件超过最大值是在提交前校验还是提交后校验3、上传文件格式是否全部支持4、上传文件是否支持中文名称5、文件名称的最大值、最小值、特殊字符(包含空格)、使用程序语句是否会对其造成影响、中文名称是否能正常显示6、对于是否发布的设置是否正确7、取值最大值、特殊字符、使用程序语句是否会对其造成影响8、上传文件名测试,检查不符合文件名规范9、上传文件名类型测试,检查不同文件类型是否支持如:.rar,.mp3,.avi等10、上传文件大小测试,检查不同文件规格大小如:0字节文件, 1kb
文件上传漏洞原理与实例测试
wuqiongrj的博客
07-22 1万+
0x00 什么是文件上传 为了让用户将文件上传到网站,就像是给危机服务器的恶意用户打开了另一扇门。即便如此,在今天的现代互联网的Web应用程序,它是一种常见的要求,因为它有助于提高业务效率。企业支持门户,给用户各企业员工有效地共享文件。允许用户上传图片,视频,头像和许多其他类型的文件。向用户提供的功能越多,Web应用受到攻击的风险和机会就越大,这种功能会被恶意用户利用,获
文件上传漏洞 (上传知识点、题型总结大全-upload靶场全解)
热门推荐
qq_43390703的博客
03-14 3万+
本文总结了几乎所有的文件上传漏洞、题型。结合知识点详解分析,剖析文件上传漏洞的要点,附带题库练习,CTF真题讲解,达到一文读完,文件上传漏洞完全掌握的效果~欢迎一同学习进步
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值