第十三课 php文件上传漏洞和代码防御2

挖掘上传漏洞

常见上传函数

$_FILES  move_uploaded_file等函数

搜索关键字

$_FILES  move_uploaded_file

 

如何防止上传漏洞

自定义文件扩展名和路径

 

1. 利用.htaccess文件实现绕过上传限制

在.htaccess文件中加入AddType application/x-httpd-php .jpg

 

1. 利用apache文件名解析漏洞1

t.php.1 t.php.xxx

 

3. 利用apache文件名解析漏洞2

AddHandler php5-script .php

 

4. 利用.php3,.php4绕过

 

 

课后了解

http://xuetr.com/download/XueTr.zip

http://baike.baidu.com/view/91163.htm

https://www.owasp.org/index.php/Unrestricted_File_Upload

http://www.acunetix.com/websitesecurity/upload-forms-threat.htm

http://sebug.net/?s1=s&w=上传漏洞

http://www.fiddler2.com/Fiddler2/version.asp