首页 > 其他分享 >Day49:WEB攻防-文件上传&存储安全&OSS对象&分站&解析安全&解码还原&目录执行

Day49:WEB攻防-文件上传&存储安全&OSS对象&分站&解析安全&解码还原&目录执行

时间:2024-03-28 12:03:34浏览次数:25  
标签:WEB 存储 文件 分站 OSS 上传 解码

目录

文件-解析方案-目录执行权限&解码还原

目录执行权限

解码还原

文件-存储方案-分站存储&OSS对象

分站存储

OSS对象存储


知识点:

1、文件上传-安全解析方案-目录权限&解码还原

2、文件上传-安全存储方案-分站存储&OSS对象

文件-解析方案-目录执行权限&解码还原

1 、执行权限

文件上传后存储目录不给执行权限

2、解码还原

数据做存储,解析固定(文件后缀名无关)

文件上传后利用编码传输解码还原

目录执行权限

文件上传后存储目录不给执行权限

 

解码还原

文件上传后利用编码(base64)传输并对应解码还原,无解

数据做存储,解析固定(任何文件后缀名都无用)

文件-存储方案-分站存储&OSS对象

1 、分站存储

upload.xiaodi8.com 上传

images.xiaodi8.com 存储

2、OSS对象

Access控制-OSS对象存储-Bucket对象

分站存储

无解,上传和存储的地方不在一个服务器上

OSS对象存储

无解,把上传的东西放在了云存储桶里(类似一个网盘,专门放东西的地方)

无论什么东西放上去就只是一个文件,如直接访问就会下载

安全绕过:以上方案除目录设置权限如能换目录解析绕过外,其他均无解

标签:WEB,存储,文件,分站,OSS,上传,解码
From: https://blog.csdn.net/qq_61553520/article/details/137042897

相关文章

  • Day51:WEB攻防-前后台功能点&文件下载&文件读取&文件删除&目录遍历&目录穿越
    目录文件安全-下载&读取&删除-案例黑白盒下载=读取文件删除目录安全-遍历&穿越-案例黑白盒目录遍历目录穿越知识点:1、文件安全-前后台功能点-下载&读取&删除2、目录安全-前后台功能点-目录遍历&目录穿越文件安全-下载&读取&删除-案例黑白盒1、下载=读取......
  • WEB漏洞挖掘(SRC)详细教程--业务数据篡改
    2.3    业务数据篡改2.3.1   金额数据篡改抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段,修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程。案例:12308订单支付时的总价未验证漏洞(支付逻辑漏洞)在支付时可修改订单总价在支......
  • web、keepalived、lvs、nginx 面试常问解析
    web、keepalived、lvs、nginx面试常问解析1.nginx代码状态代表啥意思--(工作可以快熟定位故障)200:服务器正常响应301:资源永久重定向302:资源临时重定向403:访问请求被禁止404:服务器找不到客户端请求的资源500:服务器内部错误502:代理服务器从后端收到了一条伪响应;badgateway......
  • webpack入门2
    插件机制自动处理某些事情,而loader只是转换文件成js.webpack也为插件提供了平台,当然也可以自己修改默认配置plugin.config.js.比loader命题机制更广,plugin自定实现某些功能。利用class()的钩子。webpack的开发环境1http环境:可以看到页面。liveserverDEserverhttpServe......
  • Base64 空格,加号问题(oss)
    缘由:在一个项目中,app请求tcpdump日志与记录的日志内容不一致请求%2B 识别成 +请求 + 识别成 空格这个在base64解密的时候会出现异常,base64需要的是加号,而不是空格造成的原因:在js中,对url的加密分别由三种方式:escape("aa+aaaa")"aa+aa%20aa"encodeURI("aa+aaaa")......
  • blog-engine-09-nuxt 构建快速、SEO友好和可扩展的Web应用程序变得轻松
    拓展阅读blog-engine-01-常见博客引擎jekyll/hugo/Hexo/Pelican/Gatsby/VuePress/Nuxt.js/Middleman对比blog-engine-02-通过博客引擎jekyll构建githubpages博客实战笔记blog-engine-02-博客引擎jekyll-jekyll博客引擎介绍blog-engine-02-博客引擎jekyll-jekyll如何......
  • 【附源码】django计算机毕业设计web的学生作业管理系统(源码+mysql+论文)
    本系统(程序+源码)带文档lw万字以上 文末可获取本课题的源码和程序系统程序文件列表系统的选题背景和意义选题背景:在当今信息化、数字化的教育环境中,学生作业管理已成为教学过程中不可或缺的一部分。传统的作业管理方式,如纸质作业本、电子邮件提交等,存在着效率低下、资源......
  • JavaWeb——HttpServletRequest获取请求头信息和请求中的参数信息用法
    HttpServletRequest接口提供了访问HTTP请求信息的方法,包括请求行和请求头。下面是一些常用的HttpServletRequest方法,用于获取请求行和请求头信息。StringgetMethod():返回请求的HTTP方法,如GET、POST等。StringgetRequestURI():返回请求的URI,不包括查询字符串。String......
  • springboot/ssm招聘系统Java企业在线招聘系统web校园大学生招聘平台
    springboot/ssm招聘系统Java企业在线招聘系统web校园大学生招聘平台基于springboot(可改ssm)+vue项目开发语言:Java框架:springboot/可改ssm+vueJDK版本:JDK1.8(或11)服务器:tomcatpackagecom.controller;importjava.text.SimpleDateFormat;importjava.util.ArrayLi......
  • 【Web】随便聊聊应用ASM CoreAPI修改字节码那些事
    目录前言ASM概念Java字节码&ClassFile核心理念:拆分修改重组修改字节码最简化模型代码示例ASM修改类的基本信息ASM修改类的字段ASM修改类的方法常规实现AdviceAdapter实现前言本文速通下ASM最最萌新直观的部分,理解浅薄,纯小白文pom依赖<dependencies><depe......