大学课程《电力行业信息安全与攻防技术》教学PPT课件：[4.3.1]任意文件上传漏洞漏洞利用分析.pptxVIP

任意文件上传漏洞漏洞利用分析

任务导入任务目标任务讲解任务总结

文件上传漏洞

电力系统威胁文件上传漏洞不仅是技术漏洞，更关系到国计民生的安全问题。

任务导入任务目标任务讲解任务总结

任务目标知识目标能力目标素养目标掌握文件上传漏洞的原理和危害能够进行任意文件上传代码段分析培养网络安全责任意识

任务导入任务目标任务讲解任务总结

又称为文件直接上传漏洞，是一种极具危害性的漏洞类型。一、任意文件上传漏洞

一、任意文件上传漏洞攻击者将能够直接获取网站的权限，甚至进一步提升权限并控制服务器。攻击者如果能够直接上传恶意脚本到网站存放的目录，并且该目录可解析动态脚本语言；

二、任意文件上传代码分析使用了move_uploaded_file函数，函数的作用是将上传的文件从临时目录移动到目标位。

构造简单的php脚本文件，并将其上传。

刘荣才广西水利水电职业技术学院第一步：创建一个简单的php文件。

第二步：把创建的php文件上传至服务器。

第三步：上传成功后，复制成功之后的路径。

构造简单的php脚本文件第四步：通过浏览器访问域名+上一步复制的路径：

插入实操视频1.任意文件上传代码分析演示视频。

任务导入任务目标任务讲解任务总结

任务总结前端JS检测并非铜墙铁壁，攻击者总有办法绕过；防御必须采用服务器端校验、文件类型白名单等多层防护。文件上传漏洞就像电力系统的后门钥匙

文件上传漏洞表面上是代