服务器端应用安全——文件上传漏洞

最新推荐文章于 2024-03-31 10:01:40 发布
最新推荐文章于 2024-03-31 10:01:40 发布
阅读量465 收藏 1
点赞数 3
分类专栏: 笔记 文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43161674/article/details/104696346
版权

攻击者上传一个可执行脚本文件,并通过该脚本获得了执行服务器命令的能力。

按照上传文件类型分类:

  1. web脚本文件
  2. Flash策略文件
  3. 病毒、木马
  4. 钓鱼图片或包含脚本的图片

攻击者成功上传,并且被用户执行,才能称之为攻击成功。

一般服务器均对上传文件的格式有检查,以下总结常见绕过文件类型检查的方法:
校验方法:

  1. 客户端校验
    一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>新建网页 1</title>
</head>
<body>
<form method="POST" enctype="multipart/form-data"  onsubmit ="return check()"  name ="frm" action="index2.htm" >
 <p><input type="file" name="F1" size="20"><input type="submit"  value="提交" name="B1"><input type="reset" value="重置" name="B2"></p>
</form>
<script type ="text/javascript">
//核心代码,检验上传文件格式
function check()
{
   
    var filename = frm.F1.value  ;
    filename = filename.substring(filename.lastIndexOf("\\")+
最低0.47元/天 解锁文章
Charle_
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨服务器实现上传操作
zeron01的博客
04-16 320
跨服务器实现上传操作 标题 参考: https://www.bilibili.com/video/BV1mE411X7yp?p=193b站ssm框架中的文件上传193集 https://www.bilibili.com/video/BV1mE411X7yp?p=197b站ssm框架中的文件上传197集 一、前期准备 1.利用IDEA创建两个Maven项目。 (1)fileuploadServer(图片服务器) (2)day2_02FileResponse(应用服务器) 2.两个Tomcat服务器,改变N
upload-server:文件上传服务器,可以支持并发上传大文件
07-06
upload-server 文件上传服务器,可以支持并发上传大文件。基于Swoole扩展。 运行服务器程序 修改上传文件的根目录,和允许的最大尺寸。 //设置上传文件的存储目录 $svr->setRootPath('/tmp/'); //设置允许上传的文件最大尺寸 $svr->setMaxSize(100*1024*1024); 在命令行中运行 php server.php 向服务器发送文件 php client.php -h 127.0.0.1 -p 9507 -f your_file.tar.gz
简单的文件上传服务器(上传到FastDFS服务器)
weixin_30414305的博客
06-22 317
现在文件服务器使用越来越多,其中FastDFS文件服务器非常出色,可以支持分布式存储,多文件系统集群和多主机备份 环境中使用的文件服务器为172.16.100.10,其中trackerd服务和storaged服务器为同一台主机 使用到的jar包为官方提供的包,下载地址为https://sourceforge.net/projects/fastdfs/files/?source=navbar ...
推荐开源项目:UploadServer - 简单、高效的文件上传服务器
最新发布
gitblog_00034的博客
03-31 707
推荐开源项目:UploadServer - 简单、高效的文件上传服务器 项目地址:https://gitcode.com/wenshui2008/UploadServer 项目简介 UploadServer 是一个轻量级的文件上传服务器,由开发者 [wenshui2008](https 维护。它的目标是提供一种简单、快速且可扩展的方式来处理各种类型的文件上传需求,无论是图片、文档还是其他类型的二进...
HttpUploadServer.
12-27
本项目是使用java语言实现的服务端上传代码实现 代码简单易懂 很赞
河南省网络安全高校战队联盟CTF训练营-web文件上传第一期
04-22
"河南省网络安全高校战队联盟CTF训练营-web文件上传第一期" 这个标题揭示了本次训练的主题,主要聚焦于网络安全领域中的一项重要技能——Web文件上传漏洞的利用与防御。CTF(Capture The Flag)是网络安全竞赛的一种...
漏洞服务器资源
12-07
bWAPP(Black Widow Application for Penetration Testing)同样是另一个用于安全教育的Web应用,它涵盖了更多种类的安全漏洞,包括但不限于信息泄露、弱认证、缓冲区溢出、文件上传漏洞等。bWAPP的设计比DVWA更为...
iis畸形文件漏洞1
08-08
通过对网页源代码的分析,攻击者发现可以修改上传字段的名称和值,利用IIS的文件解析漏洞,尝试上传ASP(Active Server Pages)文件,这是一种支持脚本语言的服务器端文件类型,通常用来创建动态网页。 在这种情况...
ASP.NET源码——[上传下载]Flash效果文件上传源码.zip
10-10
通过研究和学习这个"ASP.NET源码——[上传下载]Flash效果文件上传源码",开发者可以了解如何在ASP.NET环境中实现高效且用户体验友好的文件上传功能,这对于构建互动性强的Web应用程序非常有价值。不过,需要注意的是...
PHP文件数据类网站实例开发源码——Simple Directory Listing 文件管理系统.rar
10-24
PHP可以与多种数据库系统配合使用,如MySQL,提供服务器端的编程能力。 2. **文件系统交互**:Simple Directory Listing系统能够读取并展示服务器上的文件和目录结构,这涉及到PHP的文件系统函数,如`scandir()`、`...
如何实现支持大文件的高性能HTTP文件上传服务器
白袍小将的博客
08-12 2万+
HTTP文件上传是做Web开发时的常见功能,例如上传图片、上传影片等。实现HTTP文件上传也比较简单,用任何Web端的脚本都可以轻松实现,例如PHP、JSP都有现成的函数或者类来调用。但笔者最近在做项目时遇到了一个大问题,项目需要上传视频文件,这些视频文件的尺寸一般大于2GB,用PHP开发时,将服务器端的上传尺寸设置得足够大,但用Chrome、FirFox等浏览器上传时,经常出...
如何保证上传文件的安全
tenfyguo的技术专栏
12-07 6473
一,不能仅仅依赖客户端js进行判断和校验,需要在服务器端进行校验; 二,通过白名单的方式控制允许上传文件的类型,注意不要用黑名单,很容易忽略或者遗漏; 三,校验上传文件的大小和上传的路径; 四,禁止上传.htacess文件,校验上传文件的内容,有时不能仅仅只判断magic num;         (上传.htacess文件在部分配置有问题的php中会覆盖之前的权限控制文件.htacess
典型漏洞归纳之上传漏洞
weixin_30911451的博客
02-21 1767
0x01 概要说明 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点防护建议。 from : http:/...
web安全文件上传漏洞攻击与防范方法
热门推荐
u014609111的博客
09-29 5万+
一、 文件上传漏洞WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。 文件上传漏洞本身就是一个危害巨大的漏洞WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下
文件上传漏洞—服务端检测&绕过方法总结(持续更新)
weixin_44431280的博客
03-02 3276
Web安全文件上传漏洞 文件上传漏洞简介和原理可参考Web安全文件上传漏洞此篇文章,本文仅对服务端检测方法和绕过方法进行总结 服务端检测方法&绕过方法: 检测方法一: 前端JS检测(通常为检测文件扩展名) 绕过方法: 1,禁止Web浏览器加载JS代码 2,修改前端代码,添加需要上传的脚本语言扩展名 3,Burpsuite抓包修改filename参数 检测方法二: 服务端MIME类型检测(检测POST内容的Content-Type字段) 绕过方法 1,Burpsuite抓包修改对应的Content
Web安全基础:文件上传漏洞解析与防范
Web安全中的文件处理漏洞主要包括任意文件上传和任意文件下载两大类,这些漏洞常常由于开发者对文件操作的安全性不够重视而导致。任意文件上传漏洞允许攻击者上传恶意脚本到Web服务器,从而可能对服务器造成严重威胁...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值