上传攻击框架

请注意,本文编写于 1714 天前,最后修改于 329 天前,其中某些信息可能已经过时。

作者是阿里巴巴安全工程师@卷成团变成个球的CasperKid君?。文章是CK在2011年编写的,在当下仍具有非常重要参考价值。很多web 站点存在上传验证方式不严格的安全缺陷,是web 渗透中关键的突破口 ,站长小伙伴要注意哦!

0x00 上传检测流程概述
0x01 客户端检测绕过(javascript 检测)
0x02 服务端检测绕过(MIME 类型检测)
0x03 服务端检测绕过(目录路径检测)
0x04 服务端检测绕过(文件扩展名检测)
- 黑名单检测
- 白名单检测
- .htaccess 文件攻击
0x05 服务端检测绕过(文件内容检测)
- 文件幻数检测
- 文件相关信息检测
- 文件加载检测
0x06 解析攻击
- 网络渗透的本质
- 直接解析
- 本地文件包含解析
- .htaccess 解析
- web 应用程序解析漏洞及其原理
0x07 上传攻击框架
- 轻量级检测绕过攻击
- 路径/扩展名检测绕过攻击
- 文件内容性检测绕过攻击
- 上传攻击框架
- 结语

下载:?Upload_Attack_Framework.pdf

添加新评论