web安全 - 文件上传漏洞

文件上传本身是互联网中最为常见的一种功能需求,所以文件上传漏洞攻击是非常常见,并且是危害极大的 常见安全问题 1) 上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行 2) 上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为 3) 上传文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行 4) 上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈 常见的攻击方式就是攻击者上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力 案例

攻击者利用这些功能上传一个网页木马,如果存放上传文件的目录有执行脚本的权限,那么攻击者就可以直接得到一个WebShell,进而控制Web服务器

被这种webshell攻击的系统中,大部分都是将存储上传文件的位置与Web应用程序放在同一服务器,甚至同一目录下,这样上传的目录也和Web应用程序一样具备执行脚本的权限,从而导致系统产生了一个高危上传漏洞 防御 这个漏洞有两个必要条件

一是可以上传木马

二是存放上传文件的目录具备执行脚本的权限 那么首先要做的就是过滤上传的文件,但即使做了各种安全过滤,限制木马上传,实际还是会有各种绕过过滤的攻击方法,比较难以限制,但过滤工作还是要做的 防御的关键还是要限制上传的目录具备执行脚本的权限上

如果将存储上传文件的位置设计在另一台文件服务器上,与Web应用服务器分开,并且没有执行权限,这样即使木马被上传进来,也因为文件服务器不能执行脚本而没有办法实施攻击

原文发布于微信公众号 - 性能与架构(yogoup)

原文发表时间:2015-11-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python

CentOS 7 安装与卸载MySQL 5.7

https://blog.csdn.net/zyw_java/article/details/70949596

1.4K20
来自专栏EarlGrey的专栏

如何正确配置 Ubuntu 14.04 服务器?

本文将介绍在云厂商购买 Ubuntu 服务器之后,为了确保服务器的安全,开发者应该要做的一些配置。完成本文的操作之后,服务器的安全性将得到更好的保障。

1.7K30
来自专栏云计算教程系列

使用Debian 9进行初始服务器设置

当您第一次创建新的Debian 9服务器时,您应该尽早采取一些配置步骤作为基本设置的一部分。这将提高服务器的安全性和可用性,并为后续操作奠定坚实的基础。

1.6K40
来自专栏月牙寂

k8s源码分析-----kube-proxy(1)Config

第一时间获取文章,可以关注本人公众号 月牙寂道长 yueyajidaozhang

34170
来自专栏androidBlog

git ssh 配置多个账户

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/gdutxiaoxu/article/details...

13120
来自专栏生信宝典

ssh免密码登录远程服务器

最简单的操作 ssh免密码登录的原理是把本地电脑的公钥放在宿主机,然后使用本地电脑的私钥去认证。 在本地电脑执行 /usr/bin/ssh-keygen -t ...

64760
来自专栏我是攻城师

Storm的wordcount实战示例

22030
来自专栏IMWeb前端团队

服务器操作规范(初稿)

本文作者:IMWeb moonye 原文出处:IMWeb社区 未经同意,禁止转载 服务器操作规范(初稿) 一切操作都需要在确保安全的前提下进行 安全规...

66880
来自专栏Spring相关

Git ssh 配置及使用

前言:前几天在写博客 手把手教你用Hexo + github 搭建自己博客的时候,经常需要用到一些git操作,截了好多图,于是就想干脆整理成一系列的git 教程...

11720
来自专栏androidBlog

Git ssh 配置及使用

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/gdutxiaoxu/article/details/...

67820

扫码关注云+社区

领取腾讯云代金券