首页 > 其他分享 >《Web安全基础》04. 文件操作安全

《Web安全基础》04. 文件操作安全

时间:2023-09-07 18:55:25浏览次数:50  
标签:Web 04 文件 数据 漏洞 2.3 绕过 上传 安全

@

目录


本系列侧重方法论,各工具只是实现目标的载体。
命令与工具只做简单介绍,其使用另见《安全工具录》。

靶场参考:upload-labs,pikachu。

1:文件操作安全

在这里插入图片描述

文件操作,包含以下四个方面:

  • 文件上传
  • 文件包含
  • 文件下载
  • 文件读取

文件被解析,则是文件包含漏洞。
显示源代码,则是文件读取漏洞。
提示文件下载,则是文件下载漏洞。

2:文件上传漏洞

在这里插入图片描述

2.1:简介

文件上传漏洞,指程序对文件的上传未作全面限制,导致用户可以上传一些超越用户权限的文件。可以是木马,shell 脚本,病毒等。

上传文件和文件执行是两个东西。

文件上传漏洞查找及判断

  • 黑盒测试:使用工具扫描网站,测试会员中心、后台等。
  • 白盒测试:直接分析源代码。

上传参数名解析

  • Content-Disposition:一般可更改
  • name:表单参数值,不能更改
  • filename:文件名,可以更改
  • Content-Type:文件 MIME,视情况更改

漏洞分类

  • 解析漏洞
  • CMS 漏洞
  • 编辑器漏洞
  • CVE 漏洞

安全修复方案

  • 后端验证:采用服务端验证模式
  • 后缀检测:基于黑名单,白名单过滤
  • MIME 检测
  • 内容检测:文件头,完整性检测
  • 自定义函数过滤
  • WAF 防护产品

2.2:防护与绕过

文件上传常见检测

  • 检测后缀名,MIME 信息,文件头内容等
  • 黑名单
  • 白名单

常见检测绕过

  • 文件头伪造
  • 图片马
  • 二次渲染绕过
  • 条件竞争
  • 文件使用目录命名方式(但操作系统实际保存时仍为文件)
  • 系统漏洞
  • 数组接受(传递数据时,一次性写入多个相同的参数,但参数内容不同)
  • 截断绕过
  • 大小写绕过
  • 空格绕过

2.3:WAF 绕过

WAF 常见绕过方法

  • 数据溢出
  • 符号变异
  • 数据截断
  • 重复数据

以下是一些 WAF 绕过的例子:

2.3.1:数据溢出

数据溢出,添加垃圾数据以致防火墙数据溢出:

在这里插入图片描述

2.3.2:符号变异

符号变异,破坏数据包原本符号对:

在这里插入图片描述

符号变异,破坏数据包原本符号对:

在这里插入图片描述

符号变异,文件名混淆:

在这里插入图片描述

符号变异,文件名混淆:

在这里插入图片描述

2.3.3:数据截断

数据截断,文件名换行。

在这里插入图片描述

2.3.4:重复数据

重复数据,传递多个同名数据:

在这里插入图片描述

重复数据,将一个 HTTP 头重复写入文件名:

在这里插入图片描述

重复数据,将一个 HTTP 头重复写入文件名:

在这里插入图片描述

3:文件包含漏洞

在这里插入图片描述

文件包含允许程序在执行过程中动态引入其他文件的内容,可提高代码的可维护性、可复用性和组织性。

文件包含漏洞,如果不正确处理文件包含,攻击者可能会利用它来包含恶意文件并执行恶意代码。

文件包含漏洞成因

  • 可控变量
  • 文件包含函数

分类

  • 本地文件包含(Local File Inclusion,LFI)
  • 远程文件包含(Remote File Inclusion,RFI)

参考资料:

4:文件下载漏洞

在这里插入图片描述

文件下载漏洞允许攻击者下载未经授权的文件。

凡是存在文件下载的地方都可能存在文件下载漏洞。

敏感文件下载

  • 配置文件
  • 接口、密匙信息文件

5:文件读取漏洞

在这里插入图片描述

文件读取漏洞允许攻击者访问或读取未经授权的文件或数据。

参考资料:


半世浮萍随逝水,一宵冷雨葬名花。

——《山花子》(清)纳兰性德

标签:Web,04,文件,数据,漏洞,2.3,绕过,上传,安全
From: https://www.cnblogs.com/GCom/p/17685829.html

相关文章

  • [SpringSecurity5.6.2源码分析四]:WebSecurityConfiguration
    WebSecurityConfiguration的重点是通过WebSecurity创建FilterChainProxy• 先分析内部的方法1、elegatingApplicationListener• 看名字就能看出来注册了一个委托类型的监听器publicclassWebSecurityConfigurationimplementsImportAware,BeanClassLoaderAware{............
  • 【TinyWebServer】02半同步半反应堆线程池
    本篇主要围绕服务器项目中涉及的知识进行介绍,详细可参考《Linux下高性能服务器编程》。服务器编程基本框架主要由I/O单元,逻辑单元和网络存储单元组成,其中每个单元之间通过请求队列进行通信,从而协同完成任务。I/O单元:用于处理客户端连接,读写网络数据;逻辑单元:用于处理业务逻辑的......
  • Socks5代理IP在网络安全与跨境电商中的应用
    随着全球化的不断推进,跨境电商和在线游戏行业在全球范围内迅速发展。然而,这些领域也面临着日益严峻的网络安全挑战。为了保护数据和确保无缝的国际互联网连接,网络工程师们一直在寻找创新的解决方案。其中,Socks5代理IP技术在这一领域中崭露头角,成为网络安全和跨境电商的强大工具。So......
  • Socks5代理IP在网络安全与跨境电商中的应用
    随着全球化的不断推进,跨境电商和在线游戏行业在全球范围内迅速发展。然而,这些领域也面临着日益严峻的网络安全挑战。为了保护数据和确保无缝的国际互联网连接,网络工程师们一直在寻找创新的解决方案。其中,Socks5代理IP技术在这一领域中崭露头角,成为网络安全和跨境电商的强大工具。So......
  • 代理IP与网络安全:保障跨境电商和游戏的顺畅运行
    在今天的数字时代,跨境电商和在线游戏已经成为全球互联网经济的两个重要组成部分。然而,这两者都需要强大的网络基础设施来支持其运行。同时,网络安全问题也变得愈发突出。在这个背景下,代理IP技术以及特别是Socks5代理协议,成为了网络工程师们重要的工具,以确保跨境电商和在线游戏的顺畅......
  • 代理IP与网络安全:保障跨境电商和游戏的顺畅运行
    在今天的数字时代,跨境电商和在线游戏已经成为全球互联网经济的两个重要组成部分。然而,这两者都需要强大的网络基础设施来支持其运行。同时,网络安全问题也变得愈发突出。在这个背景下,代理IP技术以及特别是Socks5代理协议,成为了网络工程师们重要的工具,以确保跨境电商和在线游戏的顺畅......
  • 喜讯 | 智安零信任安全项目入选信通院“安全守卫者计划”优秀案例
    近日,中国信息通信研究院(以下简称“中国信通院”)主办的首届“SecGo云和软件安全大会”成功举办,会上重磅揭晓了“安全守卫者计划·零信任”优秀案例征集活动结果,深圳市智安网络有限公司与大庆油田信息技术公司联合申报的零信任项目,凭借为企业提供一种新型的安全边界访问技术模型,为海......
  • locust:Python 分布式压力测试(带WebUI)
    Locust介绍它采用纯Python实现,是一个分布式用户负载测试的工具。使用基于Requests库的客户端发起请求,使编写脚本大大简化;在模拟并发方面摒弃进程和线程,完全基于时间驱动,采用协程(gevent)提供的非阻塞IO和coroutine来实现网络层的并发请求。因此单台压力机也能产生数......
  • 业务安全情报第22期 | 不法分子为何盗刷企业短信?
    顶象防御云业务安全情报中心监测发现,某知名社交平台遭遇黑灰产大规模注册账号,账号短信接口被疯狂盗用。不仅影响正常用户操作,更带来各种威胁。 手机短信的重要性在互联网时代,账号服务是我们日常生活中不可或缺的一部分,包括账号注册、账号登录、账号密码找回等。而手机短信......
  • 安全认证 | CISP考试资格及报考条件
    在参加CISP考试之前我们准备好相关的工作对于拿证是有很大的帮助的。那么CISP考试资格及报考条件是什么?下面我们就来了解一下吧。01CISP考试资格及报考条件★报考条件CISP考试条件详情:满足CISP教育和工作经验要求注册资格(1)教育和工作经验要求:硕士以上学历,有一年以上工作经验;或......