龙8国际官网下载

1   1  /  1  页   跳转

上传漏洞的防范方法

上传漏洞的防范方法

上传漏洞一般是由于程序员未对上传的文件作过滤或者过滤机制不严格,导致恶意用户可以上传动态脚本页面,从而通过上传的脚本页面达到控制网站权限的目的。
这里我先来简单归纳一下上传漏洞的总类(个人能力有限应该还有遗留的):
一、未做任何限制
二、客户端JS验证绕过(本地javascript扩展名检测)
三、http包头检测绕过(content-type检测)
四、文件名可定义上传漏洞(自定义文件名,可使用0×00截断写入,参看dvbbs6.0上传漏洞同理)
五、文件夹可定义上传漏洞(自定义文件夹名,可使用0×00截断写入,参看dvbbs6.0上传漏洞)
六、文件头检测绕过(gif89a等文件头部检测)
七、第三方解析漏洞(IIS、apache、nginx的解析问题)

防御方法:禁止图片与附件等可上传目录的脚本可执行权限,其他目录禁止上传,这样就能有效的避免黑客通过上传来获取到webshell了.


用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
最后编辑networkedition 最后编辑于 2013-03-08 09:40:36
分享到:
gototop
 

回复:上传漏洞的防范方法

复制的 。
gototop
 

回复:上传漏洞的防范方法

gototop
 

回复:上传漏洞的防范方法

该用户帖子内容已被屏蔽
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT 
龙8国际官网下载千亿国际娱乐网页版qy8千亿国际官网优乐娱乐国际城
齐乐娱乐在线优乐娱乐官网诚博娱乐优乐娱乐官网
齐乐娱乐在线千亿国际娱乐网页版qy8千亿国际官网亚虎娱乐平台
龙8国际官网下载龙8国际官网下载安装龙8国际娱乐pt老虎机优乐娱乐国际城
齐乐娱乐在线优乐娱乐官网诚博娱乐优乐娱乐官网