《网络攻防技术》课件——第一节：文件上传、下载漏洞利用.pptxVIP

《文件上传漏洞》

《网络攻防技术》

Web应用

文件上传漏洞

Web应用是指采用B/S架构、通过HTTP/HTTPS提供服务的统称。

随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面：网上购物、网络银行应用、证券股票交易等。在这些Web访问中，大多数应用不是静态的网页浏览，而是涉及到服务器侧的动态处理。此时，如果Java、PHP等程序语言的编程人员的安全意识不足，对程序参数输入等检查不严格，则会导致Web应用安全问题层出不穷。

Web应用攻击

文件上传漏洞

是攻击者通过浏览器或攻击工具，在URL或者其他输入区域（如表单等），向Web服务器发送特殊请求，从中发现Web应用程序存在的漏洞，从而进一步操纵和控制网站，查看、修改未授权的信息。

文件上传漏洞简介

文件上传漏洞

在Web应用程序中，上传文件是一种常见功能，因为它有助于提高业务效率，比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后，后台会对上传的文件进行判断，比如是否是指定的类型、后缀名、大小等等，然后将其按照设计的格式进行重命名后存储在指定的目录。如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨，则攻击着可能会上传一些恶意的文件，给网站带来灾难性后果。

文件上传漏洞简介

文件上传漏洞

安全界将利用上传漏洞