如何查找一个网站是否有文件上传漏洞?
前天晚上22点,「QQ盗号」冲上热搜。这次QQ盗号规模很大、侮辱性又极强,看着群里的不良信息,相信换成谁都得尴尬到扣出三室一厅。
根据此事,官方指出盗号原因是用户误扫了不法分子的二维码或链接,然后黑产团队劫持并记录该用户的账号密码等信息,之后不法分子再发送不良图片广告。
图源微博,侵删
但是明枪易躲,暗箭难防!正规的官方网站,也可能会存在安全漏洞,不加防范也很容易造成信息泄露:
只要Web应用程序存在该漏洞,任何人都可以上传一个恶意脚本(图片、视频及其他类型文件),能直接控制系统或者使系统瘫痪。没错,它就是文件上传漏洞。
图源网络,侵删
漏洞介绍
漏洞名称:文件上传漏洞
漏洞定级:高危
漏洞描述:文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严或web serber相关解析漏洞未修复而造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过web访问的目录上传任意文件们包括网站后门文件,进而远程控制网站服务器。
产生原因:
- 服务器配置不当
- 开源编辑器上传漏洞
- 本地文件上传限制被绕过
- 过滤不严格被绕过
- 文件解析漏洞导致文件执行
- 文件路径截断
漏洞危害:可能会导致用户信息泄露,被钓鱼,甚至使攻击者可以直接上传WebShell到服务器,进而得到自己想要的信息和权限。最终达到对数据库执行、服务器文件管理、服务器命令执行等恶意操作,甚至完全控制服务器系统。
文件上传漏洞危害极大,因而也成为了大家入行网安学习漏洞的典型。那么如何利用该漏洞控制服务器呢?又该如何判断一个网站是否有该漏洞?如果你也有这些疑惑,那么机会来了!
马哥教育张翊老师特为安全新人准备了「如何使用文件上传控制服务器」免费公开课,干货满满,不容错过~~~
如何使用文件上传控制服务器
—— 现场公开课介绍——
公开课预告大放送来啦!
具体课程内容如下:
课程直播时间
6月29日 晚20:00
腾讯课堂直播间
扫码备注【安全公开课】
课程顾问老师会直接发给你的
课程主讲内容
什么是上传漏洞
如何利用上传漏洞
木马解析与利用
利用木马控制服务器
课程主讲老师
张翊老师是国内知名互联网公司从业者,是一名资深的安全工程师,先后从事渗透测试、主机防御、SDL、DevSecOps体系建设等工作,拥有丰富的实战经验。并且拥有CISSP认证,深受学员和用人单位的欢迎。
所有精彩尽在6月29日晚20:00
我们不见不散
点击“阅读原文”直达直播间
(记得点击免费报名哦)
阅读原文 最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。