文件上传1---文件上传原理与危害解析

最新推荐文章于 2024-04-02 09:58:16 发布
最新推荐文章于 2024-04-02 09:58:16 发布
阅读量3.1k 收藏 3
点赞数
文章标签: 信息安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45590334/article/details/117262139
版权

一、产生原因

文件上传漏洞的产原因在于程序员对于用户上传的文件内容控制不足或处理存在缺陷,从而导致的用户可以越过其本身权限向服务器上传可执行的脚本文件。

这里上传的文件可以是木马、病毒、webshell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器如何处理和解释文件。如果处理逻辑不够安全,则可能导致严重的后果。

具体原因如下:

  • 对于文件上传的后缀名没有做严格校验
  • 对于上传文件的content-type进行校验
  • 权限上没有对上传的文件目录设置不可执行权限
  • web server 对于上传的文件内容或者指定目录的行为做限制。

二、文件上传漏洞的危害

  • 上传webshell,控制服务器、远程命令执行
  • 上传系统病毒、木马文件进行挖矿、僵尸网络
  • 进行提权操作
  • 修改web页面,实现钓鱼、挂马等操作。
  • 进行内网渗透。

三、文件上传的合法性检测

  • 前段JS验证
  • MIME类型验证(content-type验证)
  • 黑白名单
  • 检查文件内容(文件头、关键字)
  • 禁止本地文件包含
  • 使用安全的web服务(apache、nginx、IIS等都可能存在漏洞)

四、文件上传的绕过方法

  • 前段JS绕过
  • MIME类型验证绕过
  • 后缀名大小写绕过
  • 00截断
  • 双写文件后缀绕过

五、文件下载与查看漏洞

一些网站由于业务需求,往往需要提供文件下载功能,但是对下载的文件不做限制,恶意用户就能够查看或下载任意敏感文件。

通过下载一些系统服务配置文件、代码脚本等,往往可以进一步进行代码审计,得到跟多的漏洞利用点。

修复方法:

  • 过滤“.”防止进行目录穿越,不能返回上级目录
  • 通过正则严格判断用户输入的参数的格式
  • 使用php.ini配置open_basedir限制文件访问范围。
W0ngk
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件操作安全之-文件上传原理
村中少年的专栏
09-19 1856
文件上传漏洞的原理文件上传漏洞的具体案例,例如CVE-2011-2202 PHP文件上传漏洞以及CVE-2020-17518 Apache flink文件上传漏洞,文件上传漏洞潜在的危害阐述文件上传中的安全问题。
Xluo大型文件上传下载系统 1.0
05-01
Xluo大型文件上传下载系统,采用asp.net 2.0+ms sqlserver2005开发,最大可上传50MB文件,任何文件类型均可上传,xluo独家的文件名扩展技术,可防止用户上传恶意文件对web服务器的危害,根据上传时间随机生成文件名技术,防SQL注入,空引用错误处理,以及其他故障处理。 本程序采用单层架构,系统虽小,但承载力还是很大的。 系统目录里面附带程序日志记录文件,程序的每一次异常都会存储在XluoUpAndDown.log文件里面。 您可以随时查询系统运行情况。
awesome-iocs:危害指标的集合
01-31
很棒的国际奥委会 一系列折衷指标的(以及一些与IOC相关的工具)。 内容 国际奥委会 指标 研究/ IoC开发目的泄漏Linux.Mirai源代码。 我的扫描仪工具的签名库。 -APTnotes数据。 -与针对民间社会的目标相关的IOC的收集。 -MISP的开源情报。 Lab恶意软件报告。 嗨,孩子们,您喜欢网络暴力吗? 想看我在眨眼之间消灭邪恶吗? 我们各种调查的危害指标(IOC)。 -FireEye公开共享的危害指标(IOC)。 威胁情报危害的指标。 -存储库包含CSV格式的IOC,用于APT,网络犯罪,恶意软件和特洛伊木马以及我在狩猎和研究中发现的任何内容。 -NSHC ThreatRecon IoC存储库 来自第42单元公共报告的指标。 Snort签名 -Snort(和Suircata)入侵检测系统的签名。 和suricata签名的混合。 亚拉签名 - -project的多个规则,用于检测编译器程序/保护程序。 我们希望与世界分享的Yara规则集合,很可能是从引用的。 机器可消化的恶意软件指标。 -yara规则的存储库。 -针对恶意
AWD攻防漏洞分析——文件上传
01-20
概述 这个漏洞在DVBBS6.0时代被hacker们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级高,入侵中上传漏洞也是常见的漏洞。 导致改漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。 上传方法 1、直接上传Webshell 2、绕过客户端检测上传webshell 3、绕过服务器文件扩展名检测上传webshell 4、绕过服务端MIME类型检测上传webshell 5、绕过文件内容检测上传webshell 6、绕过服务端目录路径检测上传webshell 7、绕过服务端漏洞上传webshell 8、利用.htacc
程序文件目录---英文版.docx
12-25
程序文件目录 程序文件目录---英文版全文共4页,当前为第1页。Procedures File catalogue 程序文件目录---英文版全文共4页,当前为第1页。 序号 文件名称 文件编号 与SA8000对应的要求 撰写部门 The serial number The file name The file serial number The SA8000 requirement Writing department 001 童工救助及推广教育程序 ST-SP-001 童工 人事部 Child labor relief and promote education procedures Child labor The personnel department 002 非强迫性工作控制程序 ST-SP-002 强迫性劳动 人事部 The not compulsive work control procedures Forced and Compulsory Labor The personnel department 003 安全与健康控制程序 ST-SP-003 健康与安全 办公室 Health and Safty control procedures Health and Safty office 004 应急准备与响应程序 ST-SP-004 健康与安全 办公室 Emergency Preparedness and reacting procedures Health and Safty office 005 危害、风险识别与评价程序 ST-SP-005 健康与安全 办公室 Hazard, risk identification and evaluation procedures Health and Safty office 006 机械设备维护与保养程序 ST-SP-006 健康与安全 生产部 Mechanical equipment maintenance procedures Health and Safty Production department 007 结社自由及集体谈判工作程序 ST-SP-007 结社自由及集体谈判权利 办公室 Freedom of association and collective bargaining procedures Freedom of Association and right to collective bargaining office 008 防止歧视及骚扰控制程序 ST-SP-008 歧视 人事部 Prevent discrimination and harassment control procedures Discrimination The personnel department 009 新生妈妈和怀孕女工风险评估程序 ST-SP-009 歧视 人事部 Mothers and pregnant women's risk assessment procedures Discrimination The personnel department 010 惩戒性措施控制程序 ST-SP-010 惩戒性措施 人事部 Discilinary practices control procedures Discilinary practices The personnel department 011 惩戒投诉控制程序 ST-SP-011 惩戒性措施 办公室 Disciplinary complaints control program Discilinary practices office 012 工时管理控制程序 ST-SP-012 工作时间 人事部 Working hours management control procedures Working hours The personnel department 013 工资管理控制程序 ST-SP-013 报酬 人事部 程序文件目录---英文版全文共4页,当前为第2页。 程序文件目录---英文版全文共4页,当前为第2页。 Remuneration management procedures Remuneration The personnel department 014 内部审核控制程序 ST-SP-014 管理系统 办公室 Internal audit control procedures Management system office 015 供应商与分包商控制程序 ST-SP-015 管理系统 采购部 Suppliers and subsuppliers control procedures Man
2018.1-TropicalHazards-BI-FrontEnd:回购热带危害项目的前端服务
05-10
热带危害BI 关于 热带危害商业智能是一个系统,旨在协助联合国大学热带医学中心的研究人员和卫生专业人员,允许管理和共享与热带疾病有关的数据和指标。 该系统旨在让专业人员进行统计分析,共享在仪表板上管理的信息,并使这些数据对公众可用。 部署 文献资料 如果您想知道如何使用系统或设计方式,可以在突出显示的链接上找到项目也可以通过项目的访问项目。 为了对项目做出贡献,我们要求您使用访问我们的存储库工作流程并。 储存库 为系统的开发创建了两个存储库,分为后端和前端。 在第二个存储库中是vue.js开发环境的依赖关系和设置。 当前存储库专用于后端以及系统文档。 安装 1-确保您的计算机上已经安装了以下程序 码头工人和码头工人组成 2-使用以下命令确保网络“ 20181tropicalhazardsbi_default”已存在: $ docker network ls 2.1-如果网络“ 2
文件上传漏洞
weixin_42374938的博客
08-07 1412
在动态网站或web应用系统中,如果动态脚本没有对用户上传的文件类型进行检查和验证,会让非法用户提交危险内容或恶意代码到服务器,进而危害服务器数据和信息的安全。这种软件漏洞就叫做文件上传漏洞。...
网络安全进阶学习第五课——文件上传漏洞
p36273的博客
07-03 3631
黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。getimagesize()函数会读取目标文件的16进制,验证目标文件16进制的头几个字符串是否符合图片的要求,通过此函数判断文件类型。通常在一个请求中,同样名称的参数只会出现一次,函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。
文件上传漏洞的原理危害、绕过
m0_52556798的博客
03-28 4309
owasp 前十的漏洞加逻辑漏洞一共十一个,到这里我已经差不多把理论知识过了一遍,这里只分享了九个,因为有些漏洞原理我觉得我太菜了不太好总结,所以留下待续,,但是之后我每学到新的漏洞就会把学习总结分享在这里,,,之后呢我会把中心放在这些漏洞的实战上面也会写成总结分享出来,还是一样的每天一个,四月份应该继续往前学着走了,四月份约了一个二面,愿我好运吧,还有就是需要我学习总结的私我,我可以把word免费分享给大家。 什么是文件上传漏洞? 当文件上传点没有对上传的文件进行严格的验证和过滤时,就容易造成任意文件上传
文件上传漏洞的原理危害及防御
2301_77152761的博客
04-06 2322
Web应用程序通常会有文件上传的功能, 例如在 BBS发布图片 , 在个人网站发布ZIP 压缩 包, 在办公平台发布DOC文件等 , 只要 Web应用程序允许上传文件, 就有可能存在文件上传漏 洞.什么样的网站会有文件上传漏洞?大部分文件上传漏洞的产生是因为Web应用程序没有对上传文件的格式进行严格过滤 , 还有一部分是攻击者通过 Web服务器的解析漏洞来突破Web应用程序的防护, 后面我们会讲 到一些常见的解析漏洞, 最后还有一些不常见的其他漏洞, 如 IIS PUT 漏洞等 .
M1-ATX:汽车PC的DC/DC智能电源
01-19
tuner Networks公司推出稳定无噪音的智能电源M1-ATX,从而消除了电池漏电,排除电源浪涌的危害.这种刚推出的M1-ATX是用在汽车上的成本智能Mini-ITX电源.M1-ATX设计用来给VIA公司的小形状系数x86 Mini-ITX主板供电,这种...
文件上传下载容易引发的安全问题及如何预防
m0_49521873的博客
06-07 1474
4. 未加密的文件传输:在文件上传和下载过程中,如果未采用加密传输,就可能会使文件内容在传输过程中被窃取或篡改。1. 恶意文件上传:攻击者可能会上传包含恶意代码的文件,这些文件可能包含病毒、木马、间谍软件等,可以用来攻击服务器或者窃取用户信息。1. 对上传文件进行类型验证和大小限制,确保上传的文件是允许的文件类型,不能带有恶意代码,且文件大小在合理范围。2. 对上传的文件进行过滤和检测,确保文件中不含有可疑的暗藏程序或者病毒等恶意代码。通过以上措施可以有效地保障文件上传和下载的安全性,降低了被攻击的风险。
文件上传漏洞原理危害
weixin_42410771的博客
04-09 307
由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本。
文件上传漏洞详解
qq_48904485的博客
03-21 3524
一、上传漏洞基础 1、上传漏洞定义 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 2、上传漏洞危害 1.上传文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,导致代码执行。 2.上传文件是病毒或者木马时,主要用于诱骗用户或者管理员下载执行或者直接 自劢运行; 3.上传文件是Flas
文件上传漏洞是什么?这么通俗易懂的讲解真的很难得!
最新发布
周沐子
04-02 920
1、什么是文件上传(1)定义文件上传漏洞是指用户上传了一个可以执行的脚本文件,并且可以通过该文件获得服务器的权限的一种漏洞。(2)原理网站Wb应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。
文件上传漏洞(二)
不秃头的程序Yang
05-19 722
一、任意文件上传漏洞 任意文件上传漏洞又名文件直接上传漏洞 这种漏洞危害极大,如果攻击者能直接上传恶意脚本到网站存放的目录,且这个目录可解析动态脚本语言,那么攻击者就能够 直接获取网站权限,甚至进一步权限提升,控制服务器。 ...
任意文件上传漏洞(简介)
diaobusi的博客
08-22 579
文件上传是指将文件从本地计算机或其他设备上传到网络服务器或其他存储位置的过程。通过文件上传,您可以将文件(如图像、文档、音频或视频等)传输到网络上的不同位置,以实现文件共享、备份、存储或与他人共享内容等目的。用户选择要上传的文件:用户在自己的设备上选择要上传的文件,可能通过文件资源管理器、拖放文件或选择文件对话框等方式进行。文件被传输至服务器:一旦用户选择文件,通过网络将文件发送到特定的服务器。可以使用各种协议,如HTTP、FTP、SFTP等来实现文件传输。
文件上传的笔记
weixin_45848979的博客
12-31 100
文件上传漏洞
文件上传漏洞的危害和防御措施
12-21
文件上传漏洞是指攻击者通过绕过文件上传功能的限制,上传恶意文件到服务器上,从而执行任意代码或获取敏感信息的安全漏洞。文件上传漏洞的危害非常严重,可能导致以下问题: 1. 执行任意代码:攻击者可以上传包含恶意代码的文件,然后通过执行该文件来控制服务器,进而获取服务器的权限。 2. 网站篡改:攻击者可以上传恶意文件替换网站的正常文件,从而篡改网站内容,例如插入恶意广告、恶意链接等。 3. 敏感信息泄露:攻击者可以上传包含敏感信息的文件,例如数据库备份文件、配置文件等,从而导致敏感信息泄露。 为了防止文件上传漏洞的发生,可以采取以下防御措施: 1. 文件类型白名单:限制上传文件的类型,只允许上传安全的文件类型,例如图片、文档等,禁止上传可执行文件或其他危险文件。 2. 文件名过滤:对上传的文件名进行过滤,禁止特殊字符或敏感字符的使用,防止攻击者通过修改文件名绕过检测。 3. 文件内容检测:对上传的文件进行内容检测,检查是否包含恶意代码或敏感信息,可以使用杀毒软件或文件解析工具进行检测。 4. 文件权限设置:限制上传文件的访问权限,确保只有授权用户可以访问上传的文件,防止未授权访问或下载。 5. 文件上传路径隔离:将上传的文件存储在与网站代码分离的目录中,避免上传文件直接存储在网站根目录下,防止攻击者通过上传恶意文件篡改网站内容。 6. 定期更新和维护:及时更新服务器和应用程序的补丁,修复已知的文件上传漏洞,同时定期检查和维护服务器的安全配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值