众元教育H3CSE20200603班-常见WEB漏洞原理及防护手段
引言:在今天的技术分享前,我先给大家讲解一下什么是漏洞,漏洞是怎么产生的。首先漏洞是指硬件、软件或者策略上存在的安全缺陷,从而使攻击者可以在未经授权的情况下访问、控制系统。漏洞的产生可能是在程序设计时未考虑周全,编程人员技术水平受限导致,也有可能是人为有意留下,为实现不可告人的目的,也有可能是硬件导致。漏洞的类型也有很多,今天我就为大家分享有关web方面的常见漏洞原理及防护手段。
一、上传漏洞
原理:因为文件上传时没有对文件的格式进行校验,导致用户可以上传任意的可执行脚本文件。
如下图上传了一个文件名为QQQ.php.jpg的一句话木马,最后是通过使用中国菜刀成功连接,拿到了web服务器的文件目录
防护:
1、设置白名单,对上传文件的格式做严格的过滤
2、在web后端对上传的文件进行过滤
3、将上传文件目录属性设置为不可执行
4、使用随机数改变上传文件的文件名及属性