文末附黑客工具及学习资料领取!
文件上传(File Upload)是大部分Web应用都具备的功能,例如用户上传附件、修改头像、分享图片/视频等。正常的文件一般是文档、图片、视频等,Web应用收集之后放入后台存储,需要的时候再调用出来返回。
但如果代码写的不严谨,没有对上传的文件的文件名、文件类型等等进行严格限制的话,攻击者如果成功上传了恶意脚本文件就可以达到控制网站等目的。
文件上传的类型:
1. 客户端检测绕过(js检测): 利用firebug禁用js或使用burp代理工具可轻易突破。
2. 服务端MIME检测绕过(Content-Type检测): 使用burp代理,修改Content-Type的参数
3. 服务端扩展名检测绕过: 文件名大小写绕过,例如Php,AsP等类似的文件名 后缀名字双写嵌套,例如pphphp,asaspp等 可以利用系统会对一些特殊文件名做默认修改的系统特性绕过 可以利用asp程序中的漏洞,使用截断字符绕过 可以利用不再黑名单列表中却能够成功执行的同义后缀名绕过黑名单的限制 可以利用解析/包含漏洞配合上传一个代码注入过的白名单文件绕过
4. 服务端内容检测绕过:
4.1文件内容头检测 一些上传的地方会检测文件内容头判断是不是允许上传的文件类型,不同类型的文件文件头也是不一样的
4.2文件加载检测绕过
针对渲染/加载测试的攻击方式是代码注入绕过:使用winhex在不破坏文件本身的渲染情况下找一个空白区进行填充代码,一般会是图片的注释区
针对二次渲染测试的攻击方式是共计文件加载器自身:如果要对文件加载器进行攻击,常见的就是溢出攻击;上传自己的恶意文件后,服务器的文件加载器会主动进行加载测试,加载测试时被溢出攻击执行shellcode,比如access/mdb溢出。
防御
1. 文件扩展名服务端白名单校验
2. 文件内容服务端校验
3. 上传文件重命名
4. 隐藏上传文件路径
5. 文件上传的目录设置为不可执行
6. 单独设置文件服务器的域名
当然文件上传漏洞与防御远不止上面列举的这些,如果大家想了解更多的文件上传的知识,今晚(9月15日晚上20:00)我们zoneBAI老师将在直播间手把手带大家学习实操,zoneBAI老师还会分享我们平时学习不到的小技巧哟,都是他多年的经验总结,快扫码预约直播吧!
除了文件上传,报名本次直播课,你还可以学习密码重置漏洞、支付逻辑漏洞、Burp爆破弱口令、SQL注入、Burp扫描、Metasploit等共计7个课程,每个课程均配套实操训练,干货满满,一次打包给你。
7 节课 +7个实战练习 + 30天社群服务 + 作业反馈
不要 999 ,也不要 99 ,限时优惠只需要 1元 ,赶紧抢购吧!
除了优质的课程和实操,我们还提供1V1班主任督学服务,班主任每天陪伴学员一起学习,帮助你一起对抗日常那些散漫状态,懒惰本能,和畏难情绪,告别学习拖延症。
-
班级群服务:打卡学习、答疑讨论、干货分享
-
督学服务:开课提醒、实操作业
-
就业服务:简历优化、就业内推
360° 的学习+练习+服务+反馈,让你学完留下的不只是印象,而是真正的能力!
福利!
最后,如果你已报名本次课程,想要更多的黑客工具及学习资料,扫描下方二维码后回复【黑客学习】领取。
同时,如果你想看看自己适不适合入门黑客,也可以扫描二维码,我们有一套完整的测试体系可以帮助你。
扫描二维码,领取黑客学习资料
