前天晚上22点,「QQ盗号」冲上热搜。这次QQ盗号规模很大、侮辱性又极强,看着群里的不良信息,相信换成谁都得尴尬到扣出三室一厅。
根据此事,官方指出盗号原因是用户误扫了不法分子的二维码或链接,然后黑产团队劫持并记录该用户的账号密码等信息,之后不法分子再发送不良图片广告。
图源微博,侵删
但是明枪易躲,暗箭难防!正规的官方网站,也可能会存在安全漏洞,不加防范也很容易造成信息泄露:
只要Web应用程序存在该漏洞,任何人都可以上传一个恶意脚本(图片、视频及其他类型文件),能直接控制系统或者使系统瘫痪。
没错,它就是文件上传漏洞。
图源网络,侵删
漏洞介绍
漏洞名称:文件上传漏洞
漏洞定级:高危
漏洞描述:文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严或web serber相关解析漏洞未修复而造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过web访问的目录上传任意文件们包括网站后门文件,进而远程控制网站服务器。
产生原因:
  • 服务器配置不当
  • 开源编辑器上传漏洞
  • 本地文件上传限制被绕过
  • 过滤不严格被绕过
  • 文件解析漏洞导致文件执行
  • 文件路径截断
漏洞危害:可能会导致用户信息泄露,被钓鱼,甚至使攻击者可以直接上传WebShell到服务器,进而得到自己想要的信息和权限。最终达到对数据库执行、服务器文件管理、服务器命令执行等恶意操作,甚至完全控制服务器系统。
文件上传漏洞危害极大,因而也成为了大家入行网安学习漏洞的典型。那么如何利用该漏洞控制服务器呢?又该如何判断一个网站是否有该漏洞?如果你也有这些疑惑,那么机会来了!
马哥教育张翊老师特为安全新人准备了如何使用文件上传控制服务器免费公开课,干货满满,不容错过~~~
如何使用文件上传控制服务器
—— 现场公开课介绍——
公开课预告大放送来啦!
具体课程内容如下:
课程直播时间
6月29日  晚20:00

腾讯课堂直播间
扫码备注【安全公开课】
课程顾问老师会直接发给你的
课程主讲内容
什么是上传漏洞
如何利用上传漏洞

木马解析与利用
利用木马控制服务器
课程主讲老师
张翊老师是国内知名互联网公司从业者,是一名资深的安全工程师,先后从事渗透测试、主机防御、SDL、DevSecOps体系建设等工作,拥有丰富的实战经验。并且拥有CISSP认证,深受学员和用人单位的欢迎。
学员对老师的真实评价
所有精彩尽在6月29日晚20:00

我们不见不散
点击“阅读原文”直达直播间
(记得点击免费报名哦)
继续阅读
阅读原文