开发安全
关注
分享
扫一扫
Analy_Lee
网络安全老白的学习之路,欢迎各位朋友交流
展开
-
文件上传漏洞---Web渗透学习
文件上传本身是一个系统的正常需求,但是由于开发人员在开发时欠缺相关的安全知识,在对用户文件上传部分的控制不足或者缺陷,而导致用户越过其本身权限向服务器上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒、恶意脚本或webshell等。这种攻击最为直接有效但是预防相对简单,除了开发语言方面,主要通过安全设备WAF(web application firewall,本文不对此进行讨论)来进行防...原创 2019-04-04 23:44:01 · 816 阅读 · 1 评论 -
文件包含漏洞---Web渗透学习
文件包含漏洞的原理:在开发过程中,文件包含是一种正常的、频繁使用的一种代码编写的正确方式。以python、php、c语言等为了其主要通过include语句来实现文件包含。从本人开发的经历来看,首先建立网页的框架,然后在其他文件中使用include语句将该框架引用到其他文件中,能够减少写码的数量,且提高代码的逻辑关系,并能提高代码的通用性和专用性。但是安全意识比较低的同事为了方便会经常使用i...原创 2019-04-05 01:03:22 · 445 阅读 · 0 评论 -
图片木马---web渗透学习
在《文件上传漏洞—Web渗透学习》一文中讲到在高安全级别(有较强安全意识的开发人员)中,开放人员定义了用户上传文件的扩展名,只有文件扩展名是jpg、JPG、jpeg、JPEG等文件才允许上传。通过代理服务器等方法无法对其进行渗透。通过文件包含漏洞的渗透方法和文件上传漏洞的方法结合,可以成功渗透文件上传漏洞中的高安全级别。原理:我们在高安全级别中真实的长传一张图片,但在通过图片编辑软件,将ph...原创 2019-04-05 01:30:45 · 1389 阅读 · 0 评论