WEB漏洞——命令执行,文件上传,XSS漏洞
命令执行漏洞是指攻击者可以随意执行系统命令。属于高危漏洞之一,任何脚本语言都可以调用操作系统命令。
再业务本身,有的需要提交数据给业务,如果没有对用户的提交的数据进行判断的话,那很有可能会被用来执行命令。
在PHP中,有的函数,如system,exec,shell_exec,passthru,popen,proc_popen。当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
针对命令执行漏洞,有必要采取下面的措施:
1,使用非root用户执行项目,且将该用户的可执行命令降到最低。
2,禁止掉非法函数,如PHP下的某些危险函数。
文件上传漏洞
只要web应用程序允许上传就有可能存在文件上传漏洞。像webshell,脚本等,都可以被上传到服务器上来。
一般的文件上传时,在业务逻辑上采用的判断方式有下面的几种方式:
防护方法:
1,上传目录权限的设置
2,上传软件进行杀毒软件判断
3,nginx判断限制
4,MD5重命名上传文件。
XSS漏洞
什么是XSS:XSS又叫CSS,跨站脚本攻击,XSS是指攻击者在网页中潜入客户端脚本,通常是JS恶意代码,当用户浏览器访问被嵌入恶意代码网页时,就会在用户浏览器上执行。
它的危害有哪些呢?:网络钓鱼,窃取用户Cookies,弹广告,刷流量,具备改页面信息,删除文章,获取客户端信息,传入蠕虫等。
XSS三种类型:
反射型:将恶意脚本附加到URL地址的参数中,只有当受害者点击这些链接的时候,才会触发恶意JS脚本,特点是只有在用户单机时触发,而且只执行一次。
存储型:黑客将恶意代码放到三方网站的数据库中,当受害者点击该网站后,该恶意代码就会在受害者的浏览器中执行。
Dom Base XSS:就是JavaScript中的Document对象HTML注入,直接浏览器处理。与其它两类不同的是,这类不需要服务器解析和响应。
防护:
与防护SQL注入类似。
除此外,还可以采用HTTPONLY的方式。CSP策略。
- web安全之命令执行与文件包含漏洞
- WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等
- Web(2)-文件上传漏洞(绕过)
- 在执行yiic webapp命令时,就报以下错误了: ‘"php.exe"’ 不是内部或外部命令,也不是可运行的程序或批处理文件。
- Django中paramiko使用密钥执行命令和上传文件
- 网站中的隐形炸弹eWebEditor文件上传漏洞补丁
- 应对eWebEditor漏洞上传文件500错误的方法
- 使用paramiko模块远程执行命令、上传文件和下载文件
- web安全之文件上传漏洞攻击与防范方法
- Jenkins Publish over SSH,上传文件及执行命令
- ewebeditor for php任意文件上传漏洞
- Web安全之命令执行漏洞
- web常见攻击六——文件上传漏洞
- linux下远程服务器批量执行命令及SFTP上传文件 -- python实现
- 使用Hadoop命令行执行jar包详解(生成jar、将文件上传到dfs、执行命令、下载dfs文件至本地)
- python模块学习之paramiko远程执行命令,文件上传、下载
- nginx文件路径处理远程命令执行漏洞(转)
- java命令执行jar包(里面的main函数,无web.xml文件)的方式(包括依赖其它的jar包),使用Google-Guava Concurrent包里的Service框架,maven工程
- maven上传文件和执行linux命令
- web安全、XSS、CSRF、注入攻击、文件上传漏洞