文件上传漏洞 – 作者:我爱喝牛奶i

文件上传

漏洞介绍

文件上传，顾名思义就是上传文件的功能行为，是程序没有对访客提交的数据进行检验或者过滤不严，可以直接提交修改过的数据桡骨扩展名的检验。一般只要能上传获取地址，可执行文件被解析就可以获取系统webshell

漏洞原理

网站web应用都有一些文件上传功能，比如文档、图片、头像、视频上传，当上传功能的实现代码没有严格校验上传文件的后缀和文件类型时，就可以上传任意文件甚至是可执行文件后门

漏洞危害

恶意文件传递给解释器去执行，之后就可以在服务器上执行恶意代码，进行数据库执行、服务器文件管理、服务器命令执行等恶意操作。根据网站使用及可解析的程序脚本不同，可以上传的恶意脚本可以是PHP、ASP、JSP、ASPX文件

漏洞修复

上传文件的存储目录禁用执行权限

文件后缀白名单，注意0x00截断攻击

不能有本地文件包含漏洞

隐藏上传文件路径

来源：freebuf.com 2021-03-06 21:07:02 by: 我爱喝牛奶i