PHP Web应用程序上传漏洞攻防研究.pdfVIP

2015年第1O期 PHPWeb应用程序上传漏洞的攻防研究 韦鲲鹏 ，葛志辉 ，杨波。 (1．广西大学计算机与电子信息学院，广西南宁530004；2．中国电信集团系统集成有限责任公司广西分公司，广西南宁530028) 摘 要 ：基于PHP(hypertextpreprocessor)的web应用程序是 目前互联网中使用最为广泛 的Web应用．一旦PHPWeb应用程序出现安全漏洞，系统中存储的数据和用户的安全就受到 很大的威胁。因此，PHPWeb应用程序的安全漏洞受到越来越多的关注，如何对PHPWeb应 用程序进行安全防护已经成为当前研究的一大热点。在PHPweb安全中出现概率很大而且危 害也很大的攻击有跨站脚本漏洞、SQL注入漏洞、代码执行漏洞及上传漏洞等。目前在跨站脚 本漏洞、SQL注入漏洞和代码执行漏洞等领域都已经有了系统的攻防研究，特别是SQL注入漏 洞更是人们关注的热点。而针对 PHPweb应用程序上传漏洞却缺少系统性的攻防研究，一些 防范方法也已经过时，很多攻击技术和防范方法都没有涉及。文章首先对PHPWeb应用上传 漏洞进行了全面详细的分析，接着给出具体详细的防护措施，最后总结出PHPWeb应用程序 文件上传功能的安全开发建议。 关键词 ：PHPWeb；漏洞 ；文件上传 ；攻防 中图分类号 ：TP309 文献标识码 ：A 文章编号 ：1671—1122(2015)10—0053～08 中文引用格式 ：韦鲲鹏，葛志辉，杨波 ．PHPWeb应用程序上传漏洞的攻防研究 J【】．信息网络安全， 2015，(10)：53—60． 英文引用格式 ：WEIK GEZH，YANGB．ResearchonAttack-defenseofPHPWebApplicationUpload Vulnerability[J]．NetinfoSecurity，2015，(10)：53—60． ResearchonAttack．defenseOfPHPW ebApplication Upload lnerability W EIKun—pengtGEZhi—hui．YANGBo ， (1．CollegeofComputerandElectronicInformation，GuangxiUniversity,NanningGuangxi530004，China；2．China 1lecomGroupSystemIntegrationLimitedLiabilityCompany,GuangxiBranch,NanningGuangxi530028．China) Abstract：TheWebapplicationsetupbyPHP(hypertextpreprocesso0isthemostwidelyuse intheInteract．OneethePHPWeb applicationwith securityvulnerability,thesecurity ofthedata andtheusersofthesystem isgreatlythreaten．Becauseofthis．thesecurityvulnerabiliyt ofPHPWeb applicationsisgettingmoreandmoreattention．How tosecurethePHPWelbapplicationprotection hasbecomeahotspotin