返回顶部
首页 > 资讯 > 服务器 >web服务器怎么做好上传漏洞安全
  • 540
分享到

web服务器怎么做好上传漏洞安全

2023-06-04 17:06:50 540人浏览 八月长安
摘要

WEB服务器怎么做好上传漏洞安全【199cloud-艾娜】Web应用程序通常会有文件上传的功能,例如,在BBS发布图片、在个人网站发布Zip压缩包、在招聘网站上发布DOC格式简历等。只要Web应用程序允许上传文件,就有可能存在文件上传漏洞。

WEB服务器怎么做好上传漏洞安全【199cloud-艾娜】

Web应用程序通常会有文件上传的功能,例如,在BBS发布图片、在个人网站发布Zip压缩包、在招聘网站上发布DOC格式简历等。只要Web应用程序允许上传文件,就有可能存在文件上传漏洞。

1. 解析漏洞

攻击者在利用上传漏洞时,通常会与Web容器(IIS、Nginx、Apache、Tomc等at)的解析漏洞配合在一起

  • IIS解析漏洞:当建立*.asa、*.asp格式的文件夹时,其目录下的任意文件都将被IIS当作asp文件来解析,在浏览器打开文件时,内容就会直接暴漏在浏览器里,上传的话,危险脚本就会运行起来,达到攻击的目的;
    如:Http://127.0.0.1/parsing.asp/test.txt

  • Apache解析漏洞;

  • PHP CGI解析漏洞;

2. 绕过上传漏洞

程序员在防止上传漏洞时可以分为以下两种:

  • 客户端检测:客户端使用javascript检测,在文件未上传时,就对文件进行验证;
    因此,绕过客户端的检测来达到攻击的方式有以下两种:

(1)使用FireBug:找到html源代码里面的FORM表单,将onsubmit事件删除,JavaScript上传验证将会失效。
(2)中间人攻击:使用Burb Suite则是按照正常的流程通过JavaScript验证,然后在传输中的HTTP层做手脚。(在上传时使用Burb Suite拦截上传数据,修改文件扩展名,就可以绕过客户端验证)。

注意:任何客户端验证都是不安全的。客户端验证是防止用户输入错误,减少服务器开销,而服务器端验证才可以真正防御攻击者。

  • 服务端检测:服务端脚本一般会检测文件的MIME类型,检测文件扩展名是否合法,甚至有些程序员检测文件中是否嵌入恶意代码。
    主要有以下几种,但也有存在漏洞的可能:

(1)白名单与黑名单验证
在上传文件时,大多数程序员会对文件扩展名检测,验证文件扩展名通常有两种方式:白名单与黑名单。

黑名单过滤方式:是一种不安全的过滤方式,黑名单定义了一系列不允许上传的文件的扩展名,服务器端接收文件后,与黑名单扩展名对比,如果发现文件扩展名与黑名单里的扩展名匹配,则认为文件不合法。举例子:

$BlackList = array('asp', 'php', 'jsp', 'php5', 'asa', 'aspx'); // 黑名单//然而并不能很好的防御: .cer文件并没有在黑名单里,则,可以通过验证,因此是无法防御上传漏洞的。

白名单过滤方式:与黑名单恰恰相反,定义一系列允许上传的扩展名,白名单拥有比黑名单更好的防御机制。举例子:

$WhiteList = array('rar', 'jpg', 'png', 'bmp', 'gif', 'doc'); // 白名单// 然而并不能很好的防御:// 例如:Web容器为IIS 6.0,攻击者把木马文件改名为pentest.asp;1.jpg上传,此时的文件为jpg格式,从而可以顺利通过验证,而IIS 6.0却会把pentest.asp;1.jpg当作asp脚本程序来执行,最终攻击者可以绕过白名单的检测,并且执行木马程序。// 白名单机制仅仅是防御上传漏洞的第一步。

(2)MIME验证
MIME类型用来设定某种扩展名文件的打开方式,当具有该扩展名的文件被访问时,浏览器会自动使用指定的应用程序来打开。如GIF图片MIME为image/gif,CSS文件MIME类型为text/css。

// 开发人员经常会对文件MIME类型做验证,PHP代码如下:if ($_FILES['file']['type'] == 'image/jpg'){ // 判断是否是jpg格式    // ...}

因此,如果上传PHP文件时,并使用Burp Suite拦截查看MIME类型,可以发现PHP文件的MIME类型为application/php,而上面代码中会判断文件类型是否为image/jpg,显然这里无法通过验证。
但是在拦截的时候可以将HTTP请求中的content-Type更改为image/jpg类型,这样即可通过程序验证,达到攻击的目的。

(3)目录验证
再文件上传时,程序员通常允许用户将文件放到指定的目录中,然而有些web开发人员为了让代码更“健壮”,通常会做一个动作,如果指定的目录存在,就将文件写入目录中,不存在则先建立目录,然后再写入文件。

攻击方式:通过使用工具将普通的文件夹名称改为.asp格式的目录,称为畸形文件夹,然后提交一句话图片木马文件,即上传成功后,这个网页木马就会被解析,从而使下攻击。

(4)截断上传攻击
也是使用工具进行拦截更改。
截断上传攻击在ASP程序中最常见,在PHP、JSP也会存在这样的攻击问题。

3. 文本编辑器上传漏洞

常见的文本编辑器有CKEditor、Ewebeditor、UEditor、KindEditor、XHeditor等。这类编辑器的功能都是非常类似的,比如都有图片上传、视频上传、远程下载等功能,这类文本编辑器也称为副文本编辑器。

使用此类编辑器减少了程序开发的时间,但是却增加了许多安全隐患,比如:使用CKEditor编辑器的有10万个网站,如果CKEditor爆出一个GetShell漏洞,那么着10万个网站都因此受到牵连。主要的漏洞体现在以下几种:
(1)敏感信息暴露。
(2)黑名单策略错误:黑名单有漏掉的扩展名。
(3)使用Burp Suite拦截修改,达到任意文件都可以上传。

--结束END--

本文标题: web服务器怎么做好上传漏洞安全

本文链接: https://lsjlt.com/news/238700.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
  • web服务器怎么做好上传漏洞安全
    web服务器怎么做好上传漏洞安全【199cloud-艾娜】Web应用程序通常会有文件上传的功能,例如,在BBS发布图片、在个人网站发布Zip压缩包、在招聘网站上发布DOC格式简历等。只要Web应用程序允许上传文件,就有可能存在文件上传漏洞。...
    99+
    2023-06-04
  • Web安全之文件上传漏洞详解
    一、文件上传漏洞定义 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理...
    99+
    2023-09-06
    web安全 网络安全 安全架构 网络攻击模型 安全威胁分析
  • 怎么做好web服务器安全措施
    做好web服务器安全措施的方法:1、需要将服务器远程默认端口进行修改,防止被黑客扫描攻击;2、需要给服务器安装防火墙并关闭不必要的服务和端口,从而降低服务器被攻击的风险;3、需要将服务器管理员密码进行保护,从而避免被黑客轻易破解利用;4、需...
    99+
    2024-04-02
  • [Web安全]文件上传漏洞及绕过基础详解+实操
    目录 什么是文件上传漏洞 文件上传的过程 文件上传返回值 文件上传漏洞有什么危害? 什么是webshell Webshell的分类 文件上传的攻击方法\步骤 任意文件上传漏洞 上传绕过 绕过前端JS检测上传文件 绕过contnet-type...
    99+
    2023-09-08
    php 安全 web安全 网络安全
  • 了解Linux服务器上的Web接口安全审核与漏洞扫描
    Linux服务器上的Web接口安全审核和漏洞扫描是指对Linux服务器上运行的Web应用程序进行安全审计和漏洞扫描的过程。这是为了发...
    99+
    2023-10-18
    Linux
  • [web安全-文件上传漏洞解析,及常见绕过方式]简单易懂超友好
         目录         一、了解文件上传漏洞是什么         二、漏洞利用方法         三、了解并接触常见的webshell管理工具,以及下载         四、一句话木马         五、文件上传的风险存在地方...
    99+
    2023-10-20
    php 服务器 web安全
  • 云服务器怎么上传做好的网站
    要将做好的网站上传到云服务器,可以按照以下步骤进行操作:1. 登录云服务器:使用SSH工具(如Putty)登录到云服务器。2. 安装...
    99+
    2023-09-09
    云服务器
  • 云服务器现安全漏洞应该怎么防护
    云服务器现安全漏洞应该怎么防护?云服务器现在已经成为企业和个人的重要基础设施之一。随着云计算的普及,云服务器的使用量不断增加,但同时也引发了一些安全风险。云服务器存在安全漏洞,可能会导致数据泄露、非法访问和服务中断等问题。为了保护用户的数...
    99+
    2024-01-24
    云服务器现安全漏洞应该怎么防护 云服务器防护 云服务器知识
  • 避免Web接口暗黑漏洞:Linux服务器的安全建议
    以下是一些建议来保护Linux服务器上的Web接口,以防止暗黑漏洞的攻击:1. 及时更新和升级:确保服务器上的操作系统、Web服务器...
    99+
    2023-10-10
    Linux
  • 做亚马逊服务器怎么样好做吗安全吗
    优势: 1. 可靠性高:亚马逊云服务器拥有多个数据中心,数据备份系统齐备,多层保护机制可确保数据安全。 2. 价格低廉:对于小型企业和初创公司来说,亚马逊云服务器可以提供低廉的价格。 3. 按需IT基础设施:亚马逊云服务器允许您按需购买,不...
    99+
    2023-10-27
    亚马逊 好做 服务器
  • 服务器安全补丁:5个最常见的安全漏洞
    服务器安全补丁是软件或操作系统中已知安全漏洞的修复程序,旨在防止网络攻击者利用这些漏洞对服务器进行攻击。及时安装安全补丁对于保护服务器安全至关重要。 以下是五个最常见的服务器安全漏洞: 1. SQL注入漏洞 SQL注入漏洞允许攻击者通过...
    99+
    2024-02-27
    服务器安全补丁 安全漏洞 网络攻击 数据泄露 补丁安装
  • 了解Linux服务器上的Web接口漏洞与攻击
    Linux服务器上的Web接口漏洞和攻击是指通过对服务器上运行的Web应用程序的漏洞进行利用和攻击的行为。常见的Web接口漏洞和攻击...
    99+
    2023-10-18
    Linux
  • 美国服务器如何做好网络漏洞管理措施
    美国服务器做好网络漏洞管理措施的方法:1、需要对美国服务器的路由器进行维护管理,防止受到路由器的漏洞入侵;2、需要限制系统物理访问,从而进行保护路由器、堵住安全漏洞;3、需要美国服务器的路由器口令进行加密保护,防止被破译;4、需要将不必要的...
    99+
    2024-04-02
  • 购买vps服务器怎么做好安全设置
    购买vps服务器做好安全设置的方法:1、定期给VPS服务器管理密码进行修改,降低被黑客暴力破解的风险;2、给VPS服务器配置防火墙,提高服务器防御能力;3、及时做好数据备份操作,避免数据丢失后无法进行恢复;4、不要运行未知来源的应用程序以及...
    99+
    2024-04-02
  • 美国服务器网络安全漏洞有哪些
    美国服务器网络安全漏洞有:1、美国服务器安装的操作系统没有进行安全配置,从而导致服务器系统出现漏洞被入侵;2、美国服务器没有对CGI程序代码进行审计考查,从而轻易被黑客发现漏洞并进行入侵;3、美国服务器遭遇拒绝服务攻击,从而造成服务器不稳定...
    99+
    2024-04-02
  • 租用美国服务器怎么做好安全设置
    租用美国服务器做好安全设置的方法:1、安装可靠的杀毒软件,能有效防止黑客的入侵;2、不要访问来源不明的网站,以免木马病毒入侵;3、及时更改复杂密码和端口设置,以防止黑客的渗透和暴力破解;4、接入高防CDN,能隐藏源站IP,且还能通过海量的硬...
    99+
    2024-04-02
  • 阿里云服务器漏洞要修复吗?安全吗?
    随着互联网的快速发展,云计算已经成为企业运营的重要组成部分。然而,任何技术都有其局限性,包括阿里云服务器。本文将讨论阿里云服务器的漏洞问题,以及是否需要修复,并分析其安全性。 一、阿里云服务器漏洞的现状阿里云作为全球领先的云计算服务提供商,...
    99+
    2023-11-09
    阿里 漏洞 服务器
  • 服务器漏洞的 Kryptonite:安全补丁的超能力
    安全补丁:网络安全的守护者 安全补丁是软件更新,专门用于修复服务器漏洞。它们由软件供应商发布,通常包含代码修复、安全增强和性能改进。通过安装这些补丁,管理员可以有效地消除已知的漏洞,阻止攻击者利用它们发起攻击。 安全补丁的超能力 安全补丁...
    99+
    2024-04-02
  • 阿里云服务器提示有漏洞怎么修复好
    首先,我们需要了解漏洞的类型。常见的漏洞类型包括SQL注入漏洞、XSS漏洞、CSRF漏洞等。SQL注入漏洞是通过SQL语句攻击用户的方式,可能导致数据库被篡改、泄露等安全问题。XSS漏洞是通过跨站脚本攻击(XSS)攻击用户的方式,可能导致用...
    99+
    2023-10-28
    阿里 漏洞 提示
  • 云服务器漏洞怎么修复
    云服务器漏洞的修复方法:登录云服务器提供商平台。打开云服务器管理控制台,进入安全中心界面。查看“待处理漏洞”,点击进入管理页面。选择需要修复的页面,点击这条漏洞右侧的“修复”。在弹出来页面中,点击“一键修复”,等待任务修复成功即可。...
    99+
    2024-04-02
软考高级职称资格查询
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。
  • 官方手机版

  • 微信公众号

  • 商务合作