《Web应用安全与防护》课件 项目6：文件上传漏洞利用与防护.pptxVIP

项目6：文件上传漏洞利用与防护;项目目标;;1.1文件上传

文件上传功能在web应用系统很常见，因为业务功能需要，很多web站点都有文件上传的接口，比如

（1）注册时上传头像图片（jpg，png，gif等）

（2）上传文件附件（doc，xls等）

当用户点击上传按钮后，后台会对上传的文件进行判断比如是否是指定的类型、后缀名、大小等等，然后将其按照设计的格式进行重命名后存储在指定的目录。;1.2文件上传漏洞

在进行文件上传功能的时候，而在后台对上传的文件没有进行安全考虑或者采用了有缺陷的措施，导致攻击者可以通过一些手段绕过安全措施从而上传一些恶意的文件，比如一句话木马，从而通过对该恶意文件的访问来控制整个web后台。

文件上传漏洞可以说是日常渗透测试中用得最多的一个漏洞，用它获得服务器权限最快最直接（高危漏洞）。;1.文件上传漏洞概述;1.文件上传漏洞概述;1.文件上传漏洞概述;;2.文件上传漏洞利用与防御;2.文件上传漏洞利与防御;小结;作业