计算机病毒与防护：文件上传漏洞原理.ppt

* * * * * * * * * * * * 文件上传漏洞原理 文件上传功能是大部分WEB应用的必备功能，网站允许用户自行上传头像、一些社交类网站允许用户上传照片、一些服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而，看似不起眼的文件上传功能如果没有做好安全防护措施，就存在巨大的安全风险。 文件上传功能 文件上传功能 如果WEB应用在文件上传过程中没有对文件的安全性进行有效的校验，攻击者可以通过上传WEBshell等恶意文件对服务器进行攻击，这种情况下认为系统存在文件上传漏洞。 一个文件上传的一般流程： 文件上传流程与上传攻击 稍有经验的开发者都知道对文件上传功能进行一些限制，防止用户上传网页木马文件，但是如果开发者没有使用有效的限制手段，往往不能很好的阻止攻击者上传木马文件，以下是常见的限制手段和绕过限制手段进行上传攻击的方式。 文件上传漏洞测试思路 文件上传漏洞---无任何上传限制 文件上传漏洞利用 文件上传漏洞---无任何上传限制 1）上传一句话木马 eval.php 文件上传漏洞利用 文件上传漏洞---无任何上传限制 2）构造木马连接 3