上传漏洞防御与IIS6.0文件解析漏洞(防御方法)

最新推荐文章于 2025-03-06 11:46:54 发布
最新推荐文章于 2025-03-06 11:46:54 发布
阅读量1.1k 收藏
点赞数
分类专栏: Web安全 文章标签: web 安全 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_49150931/article/details/110854879
版权
本文详细阐述了上传漏洞的防御原则,包括文件类型限制、大小控制、访问权限设置、版本更新策略以及针对特定环境(如IIS、Apache、Nginx和Tomcat)的漏洞修复措施。通过实例讲解,确保网站免受恶意文件上传攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录
上传类型漏洞的总体防御原则
不同环境上传漏洞的防御方法

一、上传漏洞防御原则

  1. 核心思想:确保上传的文件不会被服务器解析成可执行的脚本,进而引发遍离功能设计的意外后果。
  2. 限制文件上传类型:白名单结合黑名单:黑名单常常会出现遗漏或者大小写绕过等问题,所以通常采用白名单限制安全的文件类型如:

图片:.jpg、.png、.gif、.bmp 文档:.doc、.pdf、.txt 压缩包:.rar、.zip

类型限制前端结合后端限制。
扩展名检测,需要防范%截断或者文件名包含空格等特殊字符的绕过方式;重命名用户上传的文件,杜绝上传时的文件名攻击。
对于图片上传,可以考虑对其进行二次渲染/压缩
3、限制上传文件大小

  • 限制上传文件的大小,防止由于内存,磁盘耗尽造成的拒绝服务。 可以配置web server允许的最大post大小
  • 可以在代码层面获取上传文件的大小,根据文件类型的不同进行进一步的过滤

4、确保上传的文件被访问正确访问

  • 将文件上传目录设置为静态资源目录,防止被解析为执行脚本 使用代理页面隐藏文件真是路径
  • 使用上述方式时,确保Content-Type与实际类型一致
  • 如果文件不允许在页面展示,仅允许下载请设置Content-disposition:attachment

5、上传漏洞防御原则

  • 确保上传的文件放在安全的路径下,必要时可将上传的文件存放于web server之外的远程服务器
  • 确保web server版本为最新,防止由于web server漏洞造成的文件意外解析
    部分文件上传攻击会北河本地其他漏洞进行,所以也要保证web服务器减少其他可利用漏洞。

二、IIS6.0文件解析漏洞(防御方法)

1、防御方法:升级IIS版本,IIS5.1与7.5均无此漏洞
2、Apache文件解析漏洞:
不要使用AddHandler,改用SetHandler,写号正则b,就不会有解析问题

<FilesMatch".+\.php$">
SetHandler application/x-httpd-php
</FilesMatch>

禁止.php.这样的文件执行

<FilesMatch".+\.ph(p[3457]?|t|tml)\.">
Require all denied
</FilesMatch>

3、Nginx文件解析漏洞

  • 将php.ini文件中的cgi.fix_pathinfo的值设为0。这样php在解析1.php/1.jpg这样的目录时,只要1.jpg不存在就会显示404
  • 将/etc/php5/fpm/pool.d/www.conf中security.limit_extensions后面的值设为.php

4、防御方法

  • Tomcat任意文件上传漏洞环境较为苛刻,将Tomcat、jdk、php更新 避免开启可、通过PUT方式传经JSP文件的功能
IIS6.0漏洞解析漏洞复现及防御——文件解析、目录解析
7Riven's blog
12-06 4442
漏洞成因 IIS 6.0 在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞。一般配合服务器的文件上传功能使用,以获取服务器的权限。 IIS6.0在网站下对创建目录格式没有做严格的过滤限制措施,导致目录解析漏洞漏洞类型 文件解析漏洞、目录解析漏洞 漏洞细节 验证有哪些文件格式被IIS6.0当做asp格式执行? 从上述测试结果来看,IIS6.0下可...
健全的IIS应用程序池设置
jxufewbt的专栏
07-13 2689
通过回收应用程序池设置,可以控制如何恢复系统资源。以下几节介绍如何指定回收应用程序池设置。 指定回收应用程序池设置 回收应用程序池设置是在应用程序池的属性对话框的“回收”选项卡中指定的。 设置回收应用程序池设置  打开 IIS 管理控制台,单击加号展开本地计算机。  单击加号展开“应用程序池”文件夹。  右击适当的应用程序池,然后单击“属性”。出现应用程序池
apache不能解析php文件_解析漏洞(Web漏洞防御)
weixin_39530288的博客
11-23 129
概述Web容器解析漏洞会将其他类型的文件当作脚本语言的文件进行解析(由于Web容器自身的漏洞,导致一些特殊文件IIS、apache、nginx 或其他 Web服务器在某种情况下解释成脚本文件执行!)常见的Web容器ApacheIISNginxTomcat......Apache解析漏洞在Apache1.x和2.x的版本中,它可以识别多个文件扩展名,如果文件存在多个扩展名,会从后向前开始解析...
IIS中间件漏洞
最新发布
m0_67170526的博客
03-06 1048
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。
文件类型解析漏洞防御攻击(PHP)
weixin_30566149的博客
02-16 151
简介: 解析漏洞主要是一些特殊文件iis、Apache、Nginx等服务在某种情况下解释成脚本文件格式并得以执行而产生的漏洞,一般的思路都是用图片木马来欺骗服务器,上传webshell,达到提权的目的 目前所出现的解析漏洞主要是以下几个: 1. IIS5.x~6.x解析漏洞 使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老...
文件解析漏洞总结
热门推荐
龙哥盟
02-19 4万+
一、IIS 5.x/6.0解析漏洞IIS 6.0解析利用方法有两种1.目录解析/xx.asp/xx.jpg2.文件解析cracer.asp;.jpg第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件解析并执行。例如创建目录 cracer.asp,那么/cracer.asp/1.jpg将被当作asp文件来执行。假设黑阔可以控制上传文件
ASP.NET CORE 在IIS10 中设置上传文件大小的限制
weixin_44788899的博客
06-19 3915
ASP.NET CORE 在IIS10 设置文件上传大小限制
29.文件上传漏洞IIS6.0解析漏洞防御原理(二)1
08-03
文件上传漏洞IIS6.0解析漏洞防御原理(二)1 在网络安全领域,文件上传漏洞和服务器解析漏洞是常见的攻击手段,这篇文章将深入探讨这两个主题,并提供防御策略。 一. 文件上传漏洞之扩展名限制 1. PHP345文件...
文件上传漏洞IIS6.0解析漏洞详解防御策略
本文档是一篇网络安全自学教程,由作者在优快云博客分享,旨在帮助读者理解并防御文件上传漏洞IIS6.0解析漏洞。作者强调,他并不支持利用这些知识进行非法活动,而是希望通过教育和实践来提升大家的安全意识和防护...
文件上传漏洞-07】中间件文件解析漏洞概述及实例——Apache、IIS和Nginx
m0_64378913的博客
07-12 3673
(1)第一种:未知扩展名解析漏洞 Apache对文件解析主要是从右到左开始判断并进行解析,如果判断为不能解析的类型,则继续向左进行解析,如xx.php.wer.xxxxx将被解析为PHP类型。(2)第二种:局部配置 通过htaccess文件进行局部配置,定义不同文件名及后缀的解析方式。参考《【文件上传漏洞-06.htaccess攻击实验(基于upload-labs-4靶场)》(1)加深理解Apache的两种解析漏洞原理; (2)掌握两种解析漏洞的检测及绕过方法。靶场:基于WAMP环境的...
IIS6.0中间件解析漏洞PUT上传技术解析
IIS6.0解析漏洞主要体现在两个方面: 1. 当创建以`.asa`或`.asp`为扩展名的文件夹时,IIS6.0会将该文件夹下的所有文件都视为ASP文件解析。这意味着即使文件名为其他非ASP扩展名,如`.jpg`、`.png`等,只要其位于...
IIS文件上传、下载的类型和大小设置
super专栏
05-14 6414
1. IIS文件上传、下载的类型设置 windows服务器IIS支持.apk和.ipa的下载 原因:因为IIS的默认MIME类型里没有.apk和.ipa的文件,所以无法通过网络直接下载。   解决办法:既然.apk .ipa无法下载是因为没有MIME,那么添加一个MIME类型就可以了。   解决步骤: 1)、打开IIS服务管理器,找到服务器,右键-属性,打开IIS
“MIME”IIS服务器不能发布未知类型文件的解决办法
ZhuZhuYuXiang的专栏
06-21 2129
客户端向服务器请求一个后缀名为.32c的(自定义的)文件,返回错误http 404 .经检查权限正确,路径也没问题.IIS 管理器中,展开本地计算机,右键单击要向其添加 MIME 类型的计算机,单击“属性”。 单击“MIME 类型”选项卡。 单击“新建”。 在“扩展名”框中,键入文件扩展名(.32c)。 在“MIME 类型”框中,键入客户端计算机上所定义的文件类型完全匹配的说明。  注意
IIS,FastCGI设置上传文件大小和时间,mime类型
shendygis的专栏
10-09 883
通过IIS部署的网站,上传文件大小和时间默认进行了限制。 这样,大文件上传不上去,因此需要更改上传文件大小和响应时间限制(设置完成后记得点击右边应用按钮)。 1、打开某一发布网站的配置编辑器 2、设置上传时间限制 3、设置上传文件大小限制(单位:kb) 4、FastCGI响应时间更改 双击fastcgi对应的项目(或右键->编辑),弹出设置对话框: 设置请求超时时间。 ...
IIS绑定主机屏蔽恶意解析域名的操作
魏洋的博客
04-03 2677
如果有恶意域名(此处以域名tp-imaging.com为例),恶意解析到了您服务器的IP上,且您的服务器网站架设使用的是windosws的IIS (版本7.5),则可按以下方法屏蔽此恶意域名: 首先可以在D盘创建空目录(为了避免重复,可以创建多个子目录,比如:D:\ABC\ABC\ABC) 进入IIS,创建一个任意名称的网站。物理路径选择先前创建的空目录。主机名填写恶意解析的域名 ...
设置IIS是否允许或禁止IP直接打开网站
weixin_33757911的博客
10-14 1609
2019独角兽企业重金招聘Python工程师标准>>> ...
IIS6.0文件解析漏洞
龙狼刺的博客
05-11 6469
目录 一、相关知识 1、IIS6.0解析漏洞介绍 2、IIS6.0PUT上传原理 3、IIS6.0解析文件类型 4、IIS6.0文件解析漏洞修复方案 二、环境配置 三、文件上传 1、设置代理 2、靶机环境配置 3、截取数据包 4、探测漏洞 5、创建文件,并写入一句话木马 6、复制文件并重命名,绕过拦截 四、蚁剑连接 一、相关知识 1、IIS6.0解析漏洞介绍 (1)当建立*.asa、*.asp格式的文件夹时,其目录下的任意文件都将被IIS当做asp文件解析...
中间件解析漏洞 - IIS6.0
qq_49433473的博客
05-18 1978
中间件解析漏洞 - IIS6.0 —(文件上传IIS6.0解析漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值