上传攻击框架

2015-01-08 519 0

作者是阿里巴巴安全工程师@卷成团变成个球的CasperKid君 。文章是CK在2011年编写的,在当下仍具有非常重要参考价值。很多web 站点存在上传验证方式不严格的安全缺陷,是web 渗透中关键的突破口 ,站长小伙伴要注意哦!

0x00 上传检测流程概述
0x01 客户端检测绕过(javascript 检测)
0x02 服务端检测绕过(MIME 类型检测)
0x03 服务端检测绕过(目录路径检测)
0x04 服务端检测绕过(文件扩展名检测)

  • 黑名单检测
  • 白名单检测
  • .htaccess 文件攻击
    0x05 服务端检测绕过(文件内容检测)
  • 文件幻数检测
  • 文件相关信息检测
  • 文件加载检测
    0x06 解析攻击
  • 网络渗透的本质
  • 直接解析
  • 本地文件包含解析
  • .htaccess 解析
  • web 应用程序解析漏洞及其原理
    0x07 上传攻击框架
  • 轻量级检测绕过攻击
  • 路径/扩展名检测绕过攻击
  • 文件内容性检测绕过攻击
  • 上传攻击框架
  • 结语

下载: Upload_Attack_Framework.pdf

相关文章

15年来的手艺之路:手艺人赵鹏的自述
纪念 Google 25 周年:从搜索引擎到科技巨头的演变之路
1小时编写一个支持七牛上传的 markdown 客户端3(打包发布篇)
1小时编写一个支持七牛上传的 markdown 客户端2(代码优化篇)
1小时编写一个支持七牛上传的 markdown 客户端1(技术实现篇)
从 wordpress 转移到 hexo

Leave a Reply