用户
搜索
  • TA的每日心情
    无聊
    前天 10:43
  • 签到天数: 38 天

    连续签到: 3 天

    [LV.5]常住居民I

    实习版主

    Rank: 7Rank: 7Rank: 7

    10

    主题

    29

    帖子

    647

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2021-12-9
    发表于 2021-12-13 11:10:19 31399
    概念

    上传文件时,如果未对上传的文件进行严格的验证和过滤,就容易造成文件上传漏洞

    上传脚本文件(包括asp,aspx,php,js等)

    恶意上传行为可能导致网站甚至整个服务器被控制。

    恶意脚本又被称为webshell,webshell具有强大的功能(如查看服务器目录、服务器中文件、执行系统命令等)

    常见Web容器

    web容器是一种服务程序,在服务器一个端口就有一个提供相应服务的程序,而这个程序就是处理从客户端发出的请求

    一个服务器可以有多个容器

    我们在常见的web容器漏洞这部分学习中需要使用的容器如下

    (IIS、Apache、Nginx、Tomcat、Jboss、WebLogic)  

    上传漏洞危害

    1.上传文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,导致代码执行。

    因为上传的文件能够被web容器解释执行。

    所以文件上传后所在的目录要是web容器所覆盖到的路径。

    其次,用户能够从web访问这个文件。

    如果文件上传了,但用户无法通过web访问,或者无法得到web容器解释这个脚本,那么也不能称之为漏洞。

    造成文件上传的原因:

    1.服务器配置不当

    2.开源编辑器上传漏洞

    3.本地文件上传限制被绕过

    4.过滤不严格被绕过

    5.文件解析漏洞导致文件执行

    6.文件路径截断

    .htaccess

    本文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。

    通过.htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件拓展名、允许/阻止特定的用户或者目录的访问、禁止目录列表,配置默认文档等功能,IIS平台不存在该文件,该文件默认开启,启用和关闭在httpd.conf文件中配置


    发表于 2021-12-19 10:52:04
    使用道具 举报 回复
    提示: 作者被禁止或删除 内容自动屏蔽
    使用道具 举报 回复
    发表于 2021-12-24 14:46:17
    wyh19890117 发表于 2021-12-24 14:35
    您好,有事儿交流学习!酬劳丰厚!诚心合作!15940009617手机/微信,请跟我联系!!谢谢。 ...

    这啥啊这是
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册