1.File Upload文件上传漏洞——小白笔记——DVWA

本文阅读 2 分钟
首页 代码,C/C#/C++ 正文

1.文件上传是什么:

对于上传文件的类型、内容没有进行严格的过滤和检查,攻击者就可以通过一个可执行的脚本文件,并通过该文件获得服务器的权限。

2.文件上传到底是什么?

1.注意:文件上传是个动作,是在利用文件上传的漏洞。
2.一说文件上传,对于我们小白来说“文件上传”,一听就感觉很抽象,但是呢,仔细想想。在考某某资格证的时候,我们经常要上传一个头像,这个上传的头像也就是一个文件。

1.文件上传漏洞的成因:

开发者没有对上传的文件进行检查并过滤

2.文件上传漏洞的可上传文件类型:

JPEG、PNG、DOC、PDF

3.文件上传漏洞的文件内容:

文件头检查可通过(比如上传一个JPG头像,我们在JPG里加一些恶意代码)(图片加代码,伪装成单纯的图片)

4.文件上传后的结果:

攻击者利用上传的文件(其文件内容是恶意代码)去执行恶意脚本,去获取服务器的权限(t提权)。

5.文件上传符合的条件:

1.上传的文件在web站点目录内可访问(也就是要传到web站点里)
2.可通过web站点访问,从而执行恶意代码
3.不会被服务器或者系统管理员发现,必须有可隐藏性
总之:上传一个可访问的有隐藏型的恶意脚本文件到web站点上
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/qq_45555226/article/details/103092188
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复