第十三课 php文件上传漏洞和代码防御2
挖掘上传漏洞
常见上传函数
$_FILES move_uploaded_file等函数
搜索关键字
$_FILES move_uploaded_file
如何防止上传漏洞
自定义文件扩展名和路径
- 利用.htaccess文件实现绕过上传限制
在.htaccess文件中加入AddType application/x-httpd-php .jpg
- 利用apache文件名解析漏洞1
t.php.1 t.php.xxx
3. 利用apache文件名解析漏洞2
AddHandler php5-script .php
4. 利用.php3,.php4绕过
课后了解
http://xuetr.com/download/XueTr.zip
http://baike.baidu.com/view/91163.htm
https://www.owasp.org/index.php/Unrestricted_File_Upload
http://www.acunetix.com/websitesecurity/upload-forms-threat.htm