技術問答
技術文章
iT 徵才
Tag
聊天室
2023 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 12 屆 iThome 鐵人賽
DAY
13
3
Security
資安這條路─以自建漏洞環境學習資訊安全
系列 第
13
篇
資安這條路 13 - [文件處理漏洞] 任意上傳檔案
12th鐵人賽
飛飛
團隊
路上撿組員
2020-09-28 23:55:42
25594 瀏覽
分享至
在實務經驗上,常常有許多網站,針對上傳檔案沒有進行限制,導致可以上傳任意副檔名的檔案,或是限制只有做一半,導致駭客可以繞過。
原理
bypass
解析問題
防護手法
上傳檔案後,重新命名檔案名稱,防止駭客取得路徑
設立白名單檢查副檔名與 MIME (Multipurpose Internet Mail Extensions)
透過掃毒軟體掃描上傳檔案
若是圖檔服務可使用 AWS s3 或其他可上傳圖片的服務
LAB
CVE-2018-2894
weblogic
https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2018-2894
留言
追蹤
檢舉
上一篇
資安這條路 12 - [Injection] Server-side request forgery (SSRF)
下一篇
資安這條路 14 - [權限控管漏洞] 水平越權、垂直越權、資料洩漏
系列文
資安這條路─以自建漏洞環境學習資訊安全
共
31
篇
目錄
RSS系列文
訂閱系列文
282
人訂閱
27
資安這條路 27 - [伺服器軟體]Web 應用伺服器-Tomcat、Weblogic、Websphere、Jboss
28
資安這條路 28 - [作業系統] Windows、Linux
29
資安這條路 29 - [滲透測試] 滲透測試流程、資訊安全概論
30
資安這條路 30 - [WebSecurity] 統整弱點
31
資安這條路 31 - [WebSecurity] 資源分享
完整目錄
直播研討會
{{ item.subject }}
{{ item.channelVendor }}
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
1123
組
團體組數
52
組
累計文章數
23068
篇
完賽人數
656
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
2018鐵人賽
javascript
2017鐵人賽
python
windows
php
c#
windows server
linux
css
react
程式設計
vue.js
熱門問題
对岸的朋友们什么手机品牌最常见啊?
社交工程演練測試
想要架設內網環境 excel 網頁編輯系統,資料保存在公司本地
FortiGate奇怪的logs
要做一個表單資料要從api裡面抓出來,但抓不出data裡的內容
寫了一個Powershell 疑問
python selenium問題
當AD帳號啟用後RDP遠端主機卻回應此帳號停用
請教使用RPA將Excel的存檔操作方法
[網頁爬蟲]抓不到內容
熱門回答
寫了一個Powershell 疑問
想要架設內網環境 excel 網頁編輯系統,資料保存在公司本地
IIS 7, 安裝SSL 後,發現外邊不能瀏覽
Windows投屏問題
網域中File Server 權限管理無法列出網域user及group
熱門文章
關於擋Ping的問題,ping不到,如何測試遠端 port 有回應 tcping
🪨把 Notion 當 AI RAG AI智查資料庫及CRUD資料庫 部落格標題生成及總結文章
AI 問股價 ?
基於開源虛擬化Proxmox VE搭建免費虛擬桌面系統
想問這樣的簡歷會有願意嗎
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}