网络基础信息及安全 8

任务3文件上传漏洞检测和加固——项目九Web应用的安全配置课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02文件上传漏洞简介文件上传漏洞的利用方式和举例文件上传漏洞的防御子任务1前端JavaScript过滤绕过与非法文件上传03子任务2加固建议和应对0401任务规划任务规划“CTF-DEMO”网站有上传文件的功能，原设计上传文件格式的白名单为jpg、jpeg、png、gif、docx、pdf和doc，要求小安对网站文件上传漏洞进行检测。小安通过在网站中的上传页面，对表单进行上传测试，以确定是否有文件上传漏洞。如果检测出文件上传漏洞，再根据情况给出安全加固建议。本任务的环境Windows10操作系统安装Wireshark4.2.6进行网络数据包捕获使用phpstudy8.1配置为测试服务器使用DBeaver管理数据库网站程序“CTF-DEMO”已经在教材配套素材中提供“本任务的环境数据库服务器为，数据库名称为dbctf_demo。“02相关知识相关知识——2.1文件上传漏洞简介相关知识——2.1文件上传漏洞简介概述文件上传漏洞是Web安全中常见的一种漏洞形式，其主要是由于Web应用程序在处理用户上传的文件时存在安全控制不足或处理逻辑缺陷，导致用户可以上传可执行的脚本文件（如木马、病毒、恶意脚本或WebShell等），并通过这些脚本文件获得执行服务器端命令的能力。相关知识——2.1文件上传漏洞简介文件上传漏洞危害1）代码执行：如果上传的是Web脚本语言文件（如PHP、ASP、JSP等），服务器的Web容器可能会解释并执行这些脚本，导致代码执行。2）诱骗下载执行：上传的文件若为病毒或木马，可用于诱骗用户或管理员下载执行。相关知识——2.1文件上传漏洞简介文件上传漏洞危害3）控制行为：上传Flash的策略文件（crossdomain.xml）时，黑客可用以控制Flash在该域下的行为。当前Flash的使用已经越来越少，但仍有少数网站使用。4）钓鱼欺诈：上传钓鱼图片或包含脚本的图片，在某些版本的浏览器中可能会被作为脚本执行，用于钓鱼和欺诈。5）WebShell控制：攻击者可能上传WebShell到服务器上，完全控制系统或致使系统瘫痪。相关知识——2.1文件上传漏洞简介文件上传漏洞产生原因（工作过程）相关知识——2.1文件上传漏洞简介文件上传漏洞产生原因1）服务器配置不当：服务器对上传文件的处理逻辑存在安全漏洞。2）开源编辑器上传漏洞：使用的开源编辑器本身存在上传漏洞。3）本地文件上传限制被绕过：攻击者通过技术手段绕过本地文件上传的限制。相关知识——2.1文件上传漏洞简介文件上传漏洞产生原因4）过滤不严或被绕过：对上传文件的过滤机制不够严格或存在可被绕过的漏洞。5）文件解析漏洞：服务器在解析上传文件时存在漏洞，导致非预期的文件被执行。文件上传漏洞带来的法律风险文件上传漏洞可能导致多种法律风险，包括刑事责任、民事赔偿及行政处罚。侵犯计算机信息系统罪：非法上传WebShell等后门程序控制服务器，构成刑事犯罪。破坏生产经营罪：上传病毒或恶意程序导致系统瘫痪，影响正常业务运营。侵犯公民个人信息罪：通过漏洞窃取服务器中存储的用户敏感数据。民事赔偿责任：需承担数据恢复、业务中断损失及用户索赔等经济赔偿。行政处罚风险：违反网络安全法，将面临警告、罚款、停业整顿等行政处理。相关知识——2.2文件上传漏洞的利用方式和举例相关知识——2.2文件上传漏洞的利用方式和举例文件上传过程中的检测通常包括客户端JavaScript检测、服务端Content-Type检测、服务端文件扩展名检测、多种绕过方法。相关知识——2.2文件上传漏洞的利用方式和举例（1）后缀绕过攻击者在上传文件时修改文件后缀，以绕过服务器对文件类型的检查。例如，将可执行文件的后缀修改为图片格式（.jpg、.png等）。举例：攻击者将一个名为“malicious_code.php”的PHP恶意脚本文件重命名为“malicious_code.jpg”，然后通过文件上传功能上传至服务器。如果服务器仅通过文件扩展名来判断文件类型，那么该文件可能会被当作图片文件处理，但实际上它包含了可执行的PHP代码。相关知识——2.2文件上传漏洞的利用方式和举例（2）MIME类型检查绕过服务器通常会通过检查文件的MIME类型来验证文件的合法性。攻击者可以通过修改HTTP请求头或篡改文件内容来绕过MIME类型检查。举例：攻击者将一个PHP脚本文件的MIME类型修改为“image/jpeg”，然后通过修改HTTP请求头中的Content-Type字段来欺骗服务器，使服务器认为该文件是一个图片文件。相关知识——2.2文件上传漏洞的利用方式和举例（3）目录遍历攻击者可以利用目录遍历漏洞上传文件到非预期的目录，从而执行任意代码或访问敏感文件。举例：攻击者构造一个包含“../”等特殊字符的文件名，如“../../malicious_code.php”，然后通过文件上传功能将该文件上传到服务器的上级目录中。如果服务器没有正确地对上传文件的路径进行限制，那么该文件可能会被成功上传并执行。相关知识——2.2文件上传漏洞的利用方式和举例（4）文件名截断某些系统对于文件名的长度限制不严格，攻击者可以利用这个漏洞上传带有特殊文件名的文件，导致系统处理异常。举例：攻击者构造一个包含特殊字符（如0x00空字符）的文件名，如“malicious_code.php\0.jpg”，然后尝试上传该文件。在某些系统中，文件名在遇到空字符时会被截断，因此该文件可能会被当作“malicious_code.php”处理并执行。举例：%00会被解析为0x00，所以导致截断的发生我们通过截断成功的绕过了后缀限制相关知识——2.2文件上传漏洞的利用方式和举例（5）上传路径限制绕过服务器通常会限制上传文件的路径，但攻击者可以通过上传特殊构造的文件名或修改请求来绕过这个限制。举例：攻击者通过修改HTTP请求中的某些参数（如POST请求中的字段）来绕过路径限制，将文件上传到不允许的目录中。相关知识——2.2文件上传漏洞的利用方式和举例（6）执行恶意代码攻击者上传包含恶意代码的可执行文件后，通过路径遍历或其他方法来执行该代码。举例：攻击者上传一个包含WebShell的PHP文件到服务器后，通过浏览器或其他工具访问该文件并执行其中的恶意代码。相关知识——2.3文件上传漏洞的防御相关知识——2.3文件上传漏洞的防御文件上传漏洞是Web安全中一个需要高度重视的问题，通过严格的验证和过滤、使用白名单方式、重命名上传文件、设置不可执行目录以及部署安全设备等措施，可以有效防范此类漏洞的发生。相关知识——2.3文件上传漏洞的防御1）严格验证和过滤上传文件：在客户端和服务器端分别对上传文件的类型、大小、内容等进行严格验证和过滤。2）使用白名单方式：强烈推荐使用白名单方式检查文件类型，避免黑名单方式可能存在的漏网之鱼。3）重命名上传文件：使用随机数改写文件名和文件路径，增加攻击成本。相关知识——2.3文件上传漏洞的防御4）设置不可执行目录：将文件上传的目录设置为不可执行，防止即使上传了脚本文件也无法执行。5）部署安全设备：使用专业的安全设备对上传行为进行监测和防御。6）定期安全扫描和更新：定期使用安全检测工具对系统进行扫描，及时发现并修复潜在漏洞，同时关注第三方插件和框架的更新情况，及时进行更新。03子任务1子任务2-1前端JavaScript过滤绕过与非法文件上传“CTF-DEMO”网站有上传文件的功能，原设计上传文件格式的白名单为jpg、jpeg、png、gif、docx、pdf和doc，要求对网站文件上传漏洞进行检测。任务要求：通过在网站中的上传页面，对表单进行上传测试，以确定是否有文件上传漏洞。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-1前端JavaScript过滤绕过与非法文件上传04子任务2子任务2-2加固建议和应对“CTF-DEMO”网站有上传文件的功能，原设计上传文件格式的白名单为jpg、jpeg、png、gif、docx、pdf和doc。检查结论：网站存在文件上传漏洞进行检测。任务要求：如果检测出文件上传漏洞，再根据情况给出安全加固建议。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-2加固建议和应对注意事项做网络安全加固时，对文件