[小迪安全24天]文件上传WAF绕过

上传参数名解析:明确哪些东西能修改?
Content-Disposition:一般可更改
name:表单参数值,不能更改
filename:文件名,可以更改
Content-Type:文件MIME,视情况更改

数据溢出绕过

在这里插入图片描述
通过在文件类型或name前面添加脏数据干扰安全狗绕过

符号变异-防匹配(’ " ;)

后面添加脏数据
在这里插入图片描述
换单引号
在这里插入图片描述
去引号
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

数据截断-防匹配(%00 ; 换行)

截断失败
在这里插入图片描述
在这里插入图片描述
换行
在这里插入图片描述

重复数据-防匹配(参数多次,如filename=“x.jpg”;filename=“x.jpg”;…filename=“x.php”😉

多个参数以后面的为主
在这里插入图片描述
在这里插入图片描述
构造白名单(安全狗认为x.php没有接收值)在这里插入图片描述
同样
在这里插入图片描述

Fuzz

fuzz字典
https://github.com/fuzzdb-project/fuzzdb
https://github.com/TheKingOfDuck/fuzzDicts
在这里插入图片描述
在这里插入图片描述

安全修复

文件上传安全修复方案

  • 后端验证:采用服务端验证模式

  • 后缀检测:基于黑名单,白名单过滤

  • MIME检测:基于上传自带类型检测

  • 内容检测:文件头,完整性检测

  • 自带函数过滤:参考uploadlabs函数

  • 自定义函数过滤:function check_file(){}

  • WAF防护产品:宝塔,云盾,安全公司产品等

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值