文件上传漏洞-防御
防御文件上传的方法各种各样
1、限制文件上传的类型(不让上传php等脚本类文件、只允许上传图片)
2、给上传的文件重命名,让攻击者找不到自己传的文件在哪
3、限制文件上传大小
4、压缩上传文件
5、把上传的文件存储到文件服务器或者OSS平台
DVWA文件上传漏洞防御
1、medium
medium的渗透测试解决办法:
通过抓包,修改requests请求消息中的文件类型,我们可以使用burpsuite将postdata中的Content-Type:application/octet-stream改成Content-Type:image/jpeg
2、Hight
hight的渗透测试解决办法:
利用DVWA的文件包含漏洞组合利用[文件名含会把读取的文件当作PHP代码执行]
3、Impossible
1、image/jpeg将原本的图片重新编码创建一个新的JPEG图像,最后0-100代表清晰度,0 质量最差,100质量最好
2、image/png将原本的图片重新编码创建一个新的png图像