基于PHP文件上传漏洞的攻击与防御研究
发布时间:2022-02-19 11:47
Radware2019年Web安全现状报告,深入分析了Web安全领域面临的挑战,以及网络安全泄露事件对互联网环境造成的影响。文章以Web安全领域中的文件上传漏洞为切入点,结合当前Web安全领域的态势情况,跟踪前沿高危性的文件上传漏洞,分别对Apache、Nginx、IIS不同类型的服务器解析漏洞进行探究;分析PHP文件上传漏洞具体攻击手段,通过测试五种不同类型(绕过Javascript前端检测、绕过Content-Type检测文件类型、利用截断上传文件、.htaccess文件上传、构造图片木马)的PHP文件上传漏洞,进而研究获取系统权限的WebShell的攻击原理;结合当前Web系统应用遭受的诸如文件上传类安全告警事件,通过研讨测试漏洞的危害性,分别从系统开发和系统运行提出技术上的防御措施。
【文章来源】:信息通信技术. 2020,14(06)
【文章页数】:7 页
【文章目录】:
引言
1 文件上传漏洞产生原因
1.1 Apache服务器解析漏洞
1.2 Nginx服务器解析漏洞
1.3 IIS服务器解析漏洞(针对asp脚本文件)
2 漏洞测试环境及工具
2.1 一句话木马
2.2 BurpSuite
2.3 中国菜刀
3 文件上传漏洞测试研究
3.1 绕过前端Java Script检测扩展名上传Web Shell
3.2 绕过Content-Type检测文件类型
3.3 利用00截断上传文件
3.4 htaccess文件上传
3.5 构造图片木马,绕过文件内容检测上传Web Shell
4 文件上传漏洞防御
4.1 系统开发阶段的防御
4.2 系统运行阶段的防御
5 结束语
【参考文献】:
期刊论文
[1]信息安全之Web劫持与流量劫持法律治理研究[J]. 范江波. 信息安全研究. 2019(02)
[2]文件上传漏洞的攻击方法与防御措施研究[J]. 郝子希,王志军,刘振宇. 计算机技术与发展. 2019(02)
[3]Web应用常见注入式安全漏洞检测关键技术综述[J]. 王丹,赵文兵,丁治明. 北京工业大学学报. 2016(12)
[4]基于行为语义分析的Web恶意代码检测机制研究[J]. 李道丰,黄凡玲,刘水祥,黄安妮. 计算机科学. 2016(08)
[5]Web访问日志安全分析技术研究[J]. 张峰,付俊,杨光华,景奕昕,唐威. 北京邮电大学学报. 2014(02)
本文编号:3632840
【文章来源】:信息通信技术. 2020,14(06)
【文章页数】:7 页
【文章目录】:
引言
1 文件上传漏洞产生原因
1.1 Apache服务器解析漏洞
1.2 Nginx服务器解析漏洞
1.3 IIS服务器解析漏洞(针对asp脚本文件)
2 漏洞测试环境及工具
2.1 一句话木马
2.2 BurpSuite
2.3 中国菜刀
3 文件上传漏洞测试研究
3.1 绕过前端Java Script检测扩展名上传Web Shell
3.2 绕过Content-Type检测文件类型
3.3 利用00截断上传文件
3.4 htaccess文件上传
3.5 构造图片木马,绕过文件内容检测上传Web Shell
4 文件上传漏洞防御
4.1 系统开发阶段的防御
4.2 系统运行阶段的防御
5 结束语
【参考文献】:
期刊论文
[1]信息安全之Web劫持与流量劫持法律治理研究[J]. 范江波. 信息安全研究. 2019(02)
[2]文件上传漏洞的攻击方法与防御措施研究[J]. 郝子希,王志军,刘振宇. 计算机技术与发展. 2019(02)
[3]Web应用常见注入式安全漏洞检测关键技术综述[J]. 王丹,赵文兵,丁治明. 北京工业大学学报. 2016(12)
[4]基于行为语义分析的Web恶意代码检测机制研究[J]. 李道丰,黄凡玲,刘水祥,黄安妮. 计算机科学. 2016(08)
[5]Web访问日志安全分析技术研究[J]. 张峰,付俊,杨光华,景奕昕,唐威. 北京邮电大学学报. 2014(02)
本文编号:3632840
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3632840.html
