已阅读5页,还剩4页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
项目案例-企业网安全评估和运维-FileUpload(文件上传)原理一、文件上传攻击分类page2轻量级检测绕过攻击文件内容检测绕过攻击上传攻击框架漏洞分层以及路径/扩轻量级检测绕过攻击(1)绕过javascript对扩展名的检测:使用Burpsuite等反向代理工具直接POST数据包到服务端,绕过前端检测,如DVWA中的绕过示例。(2)绕过服务端对httprequest包MIME类型检测:使用Burpsuite等反向代理工具伪造POST数据包到服务端,绕过MIME检测,如DVWA中的绕过示例。文件内容检测绕过攻击文件加载测试绕过:对文件进行代码注入再配合任意解析调用/漏洞上传攻击框架漏洞分层以及路径/扩展名检测绕过攻击文件内容检测绕过攻击文件加载绕过(代码层漏洞)二、检测方法简单点的方法就是直接上传各种类型的文件,再通过Burpsuite修改各个可以绕过的检测内容来检测。四、防御方法简单的防御方法为:获取文件扩展名进行白名单对比,然后对文件进行重命名。当然若存在解析漏洞等容易被绕过如:1、客户端JavaScript检测:通常为检测文件扩展名)2、服务端MIME类型检测:检测Content-Type内容)3、服务端目录路径检测:检测跟path参数相关的内容4、服
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026上半年广东肇庆市端州区教育局赴高校招聘教师45人笔试模拟试题及答案解析
- 2026四川成都城建投资管理集团有限责任公司市场化选聘所属企业经理层成员2人笔试备考试题及答案解析
- 2026天津科技大学第三批招聘96人(博士或副高及以上岗位)笔试模拟试题及答案解析
- 2026四川泸州泸县得胜镇招考村(社区)后备干部笔试模拟试题及答案解析
- 2026上海戏剧学院附属戏曲学校招聘1人笔试备考题库及答案解析
- 广安市农业农村局2026年度公开遴选工作人员笔试模拟试题及答案解析
- 2026上半年四川事业单位统考南充市考试招聘教师438人笔试备考题库及答案解析
- 2026四川成都市泡桐树中学百仁分校教师招聘11人笔试参考题库及答案解析
- 2026届湖南省华容县中考模拟试卷(4)英语试题含解析
- 福建省福州市福清市2026届中考适应性考试语文试题含解析
- 2026山东出版集团有限公司招聘193人笔试备考试题及答案解析
- 江苏省镇江市2024-2025学年高三下学期期初质量监测生物试卷(含答案)
- 2026年安徽卫生健康职业学院单招综合素质考试题库带答案详解(培优)
- 2026年常州纺织服装职业技术学院单招综合素质考试题库带答案详解(b卷)
- 潍坊宠物行业分析报告
- 2025-2026学年川教版四年级下册信息科技全册(教学设计)教案
- 2026年检察院聘用制书记员招聘笔试试题(含答案)
- (2026年)胸痛之主动脉夹层患者的处置课件
- 2026年六安职业技术学院单招职业适应性测试题库附答案详解(综合题)
- 时间在哪里(单元测试)2025-2026学年二年级数学下册人教版(含答案)
- 2026年春期人音版四年级下册音乐教学计划及进度表
评论
0/150
提交评论