《Web安全基础》04. 文件操作安全

这篇具有很好参考价值的文章主要介绍了《Web安全基础》04. 文件操作安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


本系列侧重方法论,各工具只是实现目标的载体。
命令与工具只做简单介绍,其使用另见《安全工具录》。

靶场参考:upload-labs,pikachu。

1:文件操作安全

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

文件操作,包含以下四个方面:

  • 文件上传
  • 文件包含
  • 文件下载
  • 文件读取

文件被解析,则是文件包含漏洞。
显示源代码,则是文件读取漏洞。
提示文件下载,则是文件下载漏洞。

2:文件上传漏洞

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

2.1:简介

文件上传漏洞,指程序对文件的上传未作全面限制,导致用户可以上传一些超越用户权限的文件。可以是木马,shell 脚本,病毒等。

上传文件和文件执行是两个东西。

文件上传漏洞查找及判断

  • 黑盒测试:使用工具扫描网站,测试会员中心、后台等。
  • 白盒测试:直接分析源代码。

上传参数名解析

  • Content-Disposition:一般可更改
  • name:表单参数值,不能更改
  • filename:文件名,可以更改
  • Content-Type:文件 MIME,视情况更改

漏洞分类

  • 解析漏洞
  • CMS 漏洞
  • 编辑器漏洞
  • CVE 漏洞

安全修复方案

  • 后端验证:采用服务端验证模式
  • 后缀检测:基于黑名单,白名单过滤
  • MIME 检测
  • 内容检测:文件头,完整性检测
  • 自定义函数过滤
  • WAF 防护产品

2.2:防护与绕过

文件上传常见检测

  • 检测后缀名,MIME 信息,文件头内容等
  • 黑名单
  • 白名单

常见检测绕过

  • 文件头伪造
  • 图片马
  • 二次渲染绕过
  • 条件竞争
  • 文件使用目录命名方式(但操作系统实际保存时仍为文件)
  • 系统漏洞
  • 数组接受(传递数据时,一次性写入多个相同的参数,但参数内容不同)
  • 截断绕过
  • 大小写绕过
  • 空格绕过

2.3:WAF 绕过

WAF 常见绕过方法

  • 数据溢出
  • 符号变异
  • 数据截断
  • 重复数据

以下是一些 WAF 绕过的例子:

2.3.1:数据溢出

数据溢出,添加垃圾数据以致防火墙数据溢出:

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

2.3.2:符号变异

符号变异,破坏数据包原本符号对:

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

符号变异,破坏数据包原本符号对:

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

符号变异,文件名混淆:

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

符号变异,文件名混淆:

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

2.3.3:数据截断

数据截断,文件名换行。

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

2.3.4:重复数据

重复数据,传递多个同名数据:

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

重复数据,将一个 HTTP 头重复写入文件名:

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

重复数据,将一个 HTTP 头重复写入文件名:

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

3:文件包含漏洞

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

文件包含允许程序在执行过程中动态引入其他文件的内容,可提高代码的可维护性、可复用性和组织性。

文件包含漏洞,如果不正确处理文件包含,攻击者可能会利用它来包含恶意文件并执行恶意代码。

文件包含漏洞成因

  • 可控变量
  • 文件包含函数

分类

  • 本地文件包含(Local File Inclusion,LFI)
  • 远程文件包含(Remote File Inclusion,RFI)

参考资料:

  • php伪协议
    https://www.cnblogs.com/endust/p/11804767.html

4:文件下载漏洞

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

文件下载漏洞允许攻击者下载未经授权的文件。

凡是存在文件下载的地方都可能存在文件下载漏洞。

敏感文件下载

  • 配置文件
  • 接口、密匙信息文件

5:文件读取漏洞

《Web安全基础》04. 文件操作安全,学习记录:Web安全基础,安全,web安全,网络

文件读取漏洞允许攻击者访问或读取未经授权的文件或数据。

参考资料:

  • 小米路由器远程任意文件读取漏洞
    https://www.seebug.org/vuldb/ssvid-98122

半世浮萍随逝水,一宵冷雨葬名花。

——《山花子》(清)纳兰性德 文章来源地址https://www.toymoban.com/news/detail-699895.html

到了这里,关于《Web安全基础》04. 文件操作安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • WEB安全基础入门—操作系统命令注入(shell 注入)

    欢迎关注订阅专栏! WEB安全系列包括如下三个专栏: 《WEB安全基础-服务器端漏洞》 《WEB安全基础-客户端漏洞》 《WEB安全高级-综合利用》 知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路! 欢

    2024年02月01日
    浏览(47)
  • 零基础如何学习 Web 安全?

    Web安全不仅是互联网的核心,而且还是云计算和移动互联网的最佳载体。对于信息安全从业者而言,Web安全是一个非常重要的研究课题之一。 Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,社交网络、聊天工具、网络购物等一系列新型产

    2024年02月08日
    浏览(42)
  • Web 学习笔记 - 网络安全

    目录 m前言 正文 XSS 攻击 简单示例 XSS 防御 CSRF  Web 安全方面的基本知识是有很必要的,未必就要深入理解。本文主要介绍常见的网络攻击类型,不作深入探讨。 网络攻击的形式种类繁多,从简单的网站敏感文件扫描、弱口令暴力破解,到 SQL 注入,再到复杂的网络劫持等,

    2023年04月24日
    浏览(49)
  • 零基础自学网络安全/web安全,看这一篇就够了

    作为一个安全从业人员,我自知web安全的概念太过于宽泛,我本人了解的也并不够精深,还需要继续学习。 但看到这个问题之后又想说说自己的看法,所以今天随手写写关于web安全的内容,希望对初次遇到web安全问题的同学提供帮助! 我先把自己整理的web安全自学路线贴出

    2024年02月06日
    浏览(83)
  • 零基础想学习 Web 安全,如何入门?

    想学习 Web 安全,如何入门? 1.我真的喜欢搞安全吗? 2.我想通过安全赚钱钱? 3.我不知道做什么就是随便? 4.一辈子做安全吗 这些不想清楚会对你以后的发展很不利,与其盲目的学习 web 安全,不如先做一个长远的计划。否则在我看来都是浪费时间。 Web 分为好几层,一图胜千言

    2024年02月03日
    浏览(61)
  • web安全学习笔记【22】——文件上传(1)

    WEB攻防-PHP应用文件上传函数缺陷条件竞争二次渲染黑白名单JS绕过 演示案例: PHP-原生态-文件上传-前后端验证 PHP-原生态-文件上传-类型文件头验证 PHP-原生态-文件上传-后缀黑白名单验证 PHP-原生态-文件上传-解析配置二次渲染 PHP-原生态-文件上传-逻辑缺陷函数缺陷 #知识点

    2024年04月17日
    浏览(40)
  • (2023版)零基础入门网络安全/Web安全,收藏这一篇就够了

    由于我之前写了不少网络安全技术相关的文章和回答,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信问我: 我刚入门网络安全,该怎么学? 要学哪些东西? 有哪些方向? 怎么选? 这一行职业前景如何? 废话不多说,先上一张图镇楼,看看网络安全有

    2024年02月07日
    浏览(78)
  • web渗透安全学习笔记:2、HTML基础知识

    目录 前言 HTML的标题 段落链接与插入图片 HTML元素 HTML属性 HTML头部 HTML与CSS HTML与JavaScript 表格与列表 HTML区块 布局 HTML表单 HTML与数据库 音频与视频 HTML事件 运行效果:   ———————————————————————————————————————————  ——

    2024年01月21日
    浏览(54)
  • web渗透安全学习笔记:1、入门基础知识/ XXS漏洞

        自编写python渗透工具编写学习笔记专栏以来,笔者便发现了一个较为严重的问题:我们大多数文章都是学习如何用python编写扫描与利用漏洞的渗透工具,却没有真正解析漏洞的形成原因,长此以往我们的学习就只会浮于表面,广而不深。为了改变这一现状,笔者决定以深

    2024年02月03日
    浏览(55)
  • 一级必杀,防不胜防的漏洞,WEB安全基础入门—文件上传漏洞

    欢迎关注订阅专栏! WEB安全系列包括如下三个专栏: 《WEB安全基础-服务器端漏洞》 《WEB安全基础-客户端漏洞》 《WEB安全高级-综合利用》 知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路! 欢

    2024年01月18日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包