【DoraBox实战】————5、文件上传分析与研究
文件上传漏洞
“文件上传”功能已经成为现在Web应用的一种常见需求,它不但有助于提供业务效率(例如:企业内部文件共享),更有助于优化用户的体验(例如:上传视频、图片、头像等各种其他类型的文件)。“文件上传”功能一方面带来了良好的体验,另一方面也带来的“安全问题”。目前文件上传漏洞已经成为web安全中经常利用到的一种漏洞形式,对于缺少安全防护的web应用,攻击者可以利用提供的文件上传功能将恶意代码植入到服务器中,之后再通过url去访问以执行代码达到攻击的目的。
文件上传漏洞产生的原因
造成文件上传漏洞的原因有:
- 开源编辑器的上传漏洞
- 服务器配置不当
- 本地文件上传限制被绕过
- 过滤不严或被绕过
- 文件解析漏洞导致文件执行
- 文件路径截断
文件上传漏洞利用的条件
- 恶意文件可以成功上传
- 恶意文件上传后的路径
- 恶意文件可被访问或执行
DoraBox文件上传漏洞分析与研究
任意文件上传