安全测试之文件上传

原创 已于 2025-04-20 10:47:15 修改 · 794 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#测试 #python #web安全 #安全

于 2025-04-18 14:19:38 首次发布

文件上传测试是Web安全测试中的重要环节,主要关注功能、安全和用户体验。

一、核心关注点

  1. 文件类型验证

    • 白名单/黑名单:白名单(只允许特定类型)更安全,黑名单(禁止危险类型)易被绕过。
    • 绕过风险:攻击者可能修改文件头(如伪装图片的PHP文件)。

  2. 文件大小限制

    • 服务器压力:过大文件可能导致存储溢出或DoS攻击。
    • 用户体验:需明确提示限制(如前端JS验证+后端二次校验)。

  3. 文件名处理

    • 特殊字符../(路径遍历)、空格、Unicode字符可能导致覆盖或注入。
    • 重命名策略:随机文件名可避免冲突(如UUID.jpg)。

  4. 内容校验

    • 魔术字节:检查文件真实类型(如FF D8 FF是JPEG头)。
    • 恶意内容:扫描病毒、WebShell代码(如图片马)。

  5. 存储与访问

    • 隔离存储:文件应存于非Web根目录,通过脚本代理访问。
    • 权限控制:防止直接执行上传文件(如.htaccess禁用PHP解析)。

  6. 日志与监控

    • 上传日志:记录IP、时间、文件名,便于追踪攻击。

二、不同场景的区别与影响

测试维度普通网站(如头像上传)企业应用(如合同提交)社交媒体(如图片/视频)
文件类型图片(JPG/PNG)PDF/DOCX图片/视频/动图(MP4/GIF)
大小限制1-5MB10-50MB视频可能100MB+
安全风险XSS(通过SVG)、CSRF恶意宏(Office文件)恶意脚本(Flash/HTML5)
存储影响CDN加速小文件需长期归档,合规性要求高高带宽成本,需分片上传

三、典型攻击与防御

  1. 路径遍历攻击

    • 攻击示例:上传../../../evil.php覆盖系统文件。
    • 防御:规范化路径,禁用../

  2. WebShell上传

    • 攻击示例:上传.jpg文件包含PHP代码,配合解析漏洞执行。
    • 防御:禁用服务器解析(如Nginx配置location ~* \.php$ { deny all; })。

  3. DoS攻击

    • 攻击示例:重复上传大文件耗尽磁盘。
    • 防御:限速、限制单用户上传频率。

四、测试工具与方法

  1. 手动测试

    • 修改HTTP请求(Burp Suite)绕过前端验证。
    • 尝试上传畸形文件(如双扩展名test.php.jpg)。

  2. 自动化工具

    • OWASP ZAP:自动化扫描上传漏洞。
    • VirusTotal API:集成病毒扫描。

  3. 代码审计

    • 检查后端是否仅依赖Content-Type(不可信)或file extension

五、最佳实践

  • 纵深防御:前端+后端+服务器层多重校验。
  • 沙箱处理:对Office/PDF文件在隔离环境解析。
  • 错误信息:避免暴露服务器路径(如自定义403页面)。

通过全面覆盖这些方面,可显著降低文件上传功能的风险。

【网络安全测试文件上传漏洞的 5 种高级方法
等风来
08-26 2092
深入了解文件上传漏洞后,我们可以实现严重性影响,即使它不是 webshell RCE,它仍然可以通过其他方式损害服务器:读取文件(curl_exec)、XXE、XSS 和覆盖现有文件。
渗透测试公司 对网站文件上传漏洞的安全扫描与检测
网站安全资讯
09-20 1281
撸了今年阿里、头条和美团的面试,我有一个重要发现.......>>> ...
安全测试文件上传漏洞检测
MXB_1220的博客
09-19 1432
如果应用程序存在文件上传漏洞,并且未对上传的文件进行适当的验证和处理,那么上传的文件可能会被接受,并且恶意代码会被存储在服务器上。如果应用程序未正确处理上传的文件,那么上传的文件将存储在服务器上,并且恶意代码会被执行。文件上传攻击请求与正常上传请求的主要区别在于攻击请求试图绕过文件类型验证、文件大小限制以及目录遍历等安全措施,以执行恶意代码或获取未授权的访问权限。你怀疑应用程序可能存在文件上传漏洞,攻击者可以上传包含恶意代码的文件。:将上传的文件重新命名为随机的名称,以防止攻击者识别和执行上传的文件。
Web安全文件上传漏洞测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
05-21 3332
现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型. 此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文件后缀)到服务器上,并将恶意文件传递给网站脚本语言去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作.
文件上传下载测试
人生不怕起点低,就怕没追求
06-28 1445
一、文件上传测试点 1. 功能性测试 正常文件上传 选择一个符合指定类型、大小和格式的文件进行上传,确保文件能够成功上传且内容保持完整。 检查上传后文件的名称、大小、格式等信息是否显示正确,确保无乱码、多余路径等问题。
文件上传漏洞测试upload-labs
vsdfbhsdhsdfh的博客
03-18 5637
文件上传web十大安全漏洞之一,它是我们在信息安全渗透测试中最常见的漏洞类型 他主要是一些网站上传用的的头像文件的时候没有进行过滤,利用PHP本身的远程木马执行,利用中国菜刀,蚁剑之类的工具进行连接,获取服务器其权限,方便在进行提取等进行拿去服务器web shell权限 下面我们主要进行upload-labs靶场进行练习 Pass-01 正在上传…重新上传取消 我们先直接上传试试 正在上传…重新上传取消 显示请上传jpg类型的文件我们在打开bure抓包 正在上传…重新上传取消 把后缀..
Web系统的安全测试之文件和目录测试
01-27
Web系统的安全测试包括以下内容:(1)Web漏洞扫描(2)服务器端信息测试(3)文件和目录测试(4)认证测试(5)会话管理测试(6)权限管理测试(7)文件上传下载测试(8)信息泄漏测试(9)输入数据测试(10)跨站脚本攻击测试(11)...
精选资源
软件测试领域:全面解析文件上传下载测试用例
03-16
内容概要:本文详细介绍了针对文件上传下载的功能性和非功能性测试用例设计方法。主要内容包括针对上传文件的不同类型(jpg/gifs等格式)、不同尺寸以及特殊情形,如零字节文件或使用中文件的上传测试案例;导出测试...
精选资源
第3章 3.WEB安全测试--文件上传漏洞.mp4
05-08
第3章 3.WEB安全测试--文件上传漏洞.mp4
文件上传安全测试指南
weixin_43676350的博客
04-18 675
测试时应确保在安全环境中进行,避免影响生产系统。
安全测试之使用Burp Suite进行文件上传
weixin_43676350的博客
04-18 888
通过系统性地使用这些方法,你可以全面评估目标应用的文件上传功能安全性。
网络安全文件上传渗透测试
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
07-17 1364
4.上传使用Weevely工具生成的木马backdoor1.php至服务器中,打开控制台使用网站安全狗检测本地是否存在木马,若检测出存在木马,则将木马所在的绝对路径作为Flag值提交,若未检测出木马则提交false;2.访问成功后上传名为backdoor.php的php一句话木马至服务器,打开控制台使用网站安全狗检测本地是否存在木马,若检测出存在木马,则将木马所在的绝对路径作为Flag值提交,若未检测出木马则提交false;因为第一次上传的一句话木马并没有清除,所以还是可以检测出木马的存在。
网络安全实验-文件上传漏洞、文件包含漏洞、CSRF漏洞
qlbahuang的博客
07-21 1771
网络安全实验:文件上传,文件包含,CSRF
Web安全 文件上传漏洞的 测试和利用.(上传一个图片或文件 拿下服务器最高权限.)
网络安全领域___专研者.
03-09 6390
文件上传漏洞的 概括: 现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型. 此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文件后缀)到服务器上,并将恶意文件传递给网站脚本语言去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作.
Web安全文件上传下载安全测试的全面剖析与实践指南
最新发布
水滴石穿
08-29 1696
文件上传功能是用户将本地文件传输到服务器的过程。由于用户上传的文件内容和类型无法完全预知,这就给攻击者提供了可乘之机。攻击者可能会尝试上传恶意文件,如木马、病毒、Webshell 等,以获取服务器的控制权或者破坏服务器的正常运行。因此,文件上传安全测试的主要目标就是发现并修复这些潜在的安全漏洞,确保只有合法的文件能够被上传到服务器。
渗透测试[文件上传篇]
npc88888的博客
03-03 1819
在不同的中间件中有特殊的情况,如果在 apache 可以开启 application/x-httpd-php 在 AddType application/x-httpd-php .php .phtml .php3 后缀名为 phtml 、php3 均被解析成 php 有的 apache 版本默认就会开启。把恶意文件改成 js 允许上传的文件后缀,如 jpg、gif、png 等,再通过抓包 工具抓取 post 的数据包,把后缀名改成可执行的脚本后缀如 php 、asp、jsp、 net 等。
文件上传漏洞(文件内容检测)
qi_SJQ_的博客
11-12 1092
对于一些更严格的文件内容过滤,比如检查图片文件是否完整: 这种检测需要将完整图片与想上传的图片合并来绕过,合并后的文件只要未经清洗和缩放等操作即可通过检测,并保持上传文件的完整性,由于图片在解析为php代码后会以乱码显示,应尽量与较小的图片(在画图里自己导出为gif格式)合并,可用copy命令。 ps:那个题php后缀字母全过滤了php12345tml等等全不好用,而然是pphphp双写!改content-type与让其大写,删空格,0截断好像都不好用! ...
Web安全-文件上传漏洞(常见上传解析漏洞,常见检测方式绕过)
m0_74220316的博客
07-04 3035
Webshell是一种利用Web服务器的漏洞或弱点,通过远程上传恶意代码到服务器上(实质上是一种网页后门),并执行命令或控制服务器的一种攻击方式。在上传过后,该文件与网站服务器web目录下的正常网页文件混在一起,然后就可以通过该文件得到一个命令执行环境攻击者可以通过Webshell获取服务器的高权限,进而进行非法操作,例如修改服务器文件、数据库操作、执行系统命令等。Webshell具有隐蔽性高、操作方便等特点,常被用于非法攻击、入侵行为或用于进行系统安全评估和渗透测试
文件上传漏洞测试技巧
wangluoanquan111的博客
03-20 1467
文件上传漏洞通常发生在Web应用程序允许用户上传文件但未严格验证文件内容的情况下,攻击者尝试上传恶意文件(如webshell)以获取服务器控制权现代Web应用程序通常会部署客户端和服务端的安全防御措施:客户端防御:文件类型检查(如限制文件扩展名)、文件大小限制、MIME类型检查等。服务端防御:文件扩展名白名单/黑名单、文件内容检查、文件重命名、存储路径隔离、权限控制等。客户端绕过技巧客户端验证通常发生在浏览器端(如JavaScript验证),可以通过修改请求或禁用JavaScript来绕过。
上传安全测试靶机教程与文件介绍
本文件"upload-labs-env-win-0.1.7z"是一个压缩包格式的文件,包涵了与安全测试相关的靶机文件,且重点涉及文件上传功能的测试。接下来将详细阐述标题、描述和标签中的知识点。 首先,从文件的标题"upload-labs-env...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值