7-文件上传漏洞
1.上传漏洞介绍
上传文件是一种常见的功能,因为它有助于提高业务效率,比如企业的OA系统,允许用户长传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到的攻击的风险就越大。
2.上传漏洞原理
上传文件时,如果服务端代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,包括上传脚本文件(asp,aspx,php,jsp等格式的文件)。
危害:
非法用户可以利用上传的恶意脚本文件控制整个网站,甚至控制服务器,这个恶意的脚本文件,又被称为Webshell,也可以称为webshell脚本称为一种网页后门,webshell脚本具有非常强大的功能,比如查看服务器目录、服务
器中的文件,执行系统命令等。
3. 上传漏洞绕过
4.上传漏洞修复
1.通过白名单的方式判断文件后缀是否合法 2.对上传后的文件尽兴重命名