2023年7月14日发(作者：)

总结⽂件上传的类型和防御⽅法⽂末附⿊客⼯具及学习资料领取！⽂件上传（File Upload）是⼤部分Web应⽤都具备的功能，例如⽤户上传附件、修改头像、分享图⽚/视频等。正常的⽂件⼀般是⽂档、图⽚、视频等，Web应⽤收集之后放⼊后台存储，需要的时候再调⽤出来返回。但如果代码写的不严谨，没有对上传的⽂件的⽂件名、⽂件类型等等进⾏严格限制的话，攻击者如果成功上传了恶意脚本⽂件就可以达到控制⽹站等⽬的。⽂件上传的类型：1. 客户端检测绕过（js检测）：利⽤firebug禁⽤js或使⽤burp代理⼯具可轻易突破。2. 服务端MIME检测绕过（Content-Type检测）：使⽤burp代理，修改Content-Type的参数3. 服务端扩展名检测绕过：⽂件名⼤⼩写绕过，例如Php，AsP等类似的⽂件名后缀名字双写嵌套，例如pphphp，asaspp等可以利⽤系统会对⼀些特殊⽂件名做默认修改的系统特性绕过可以利⽤asp程序中的漏洞，使⽤截断字符绕过可以利⽤不再⿊名单列表中却能够成功执⾏的同义后缀名绕过⿊名单的限制可以利⽤解析/包含漏洞配合上传⼀个代码注⼊过的⽩名单⽂件绕过4. 服务端内容检测绕过：4.1⽂件内容头检测⼀些上传的地⽅会检测⽂件内容头判断是不是允许上传的⽂件类型，不同类型的⽂件⽂件头也是不⼀样的4.2⽂件加载检测绕过针对渲染/加载测试的攻击⽅式是代码注⼊绕过：使⽤winhex在不破坏⽂件本⾝的渲染情况下找⼀个空⽩区进⾏填充代码，⼀般会是图⽚的注释区针对⼆次渲染测试的攻击⽅式是共计⽂件加载器⾃⾝：如果要对⽂件加载器进⾏攻击，常见的就是溢出攻击；上传⾃⼰的恶意⽂件后，服务器的⽂件加载器会主动进⾏加载测试，加载测试时被溢出攻击执⾏shellcode，⽐如access/mdb溢出。防御1. ⽂件扩展名服务端⽩名单校验1. ⽂件扩展名服务端⽩名单校验2. ⽂件内容服务端校验3. 上传⽂件重命名4. 隐藏上传⽂件路径5. ⽂件上传的⽬录设置为不可执⾏6. 单独设置⽂件服务器的域名当然⽂件上传漏洞与防御远不⽌上⾯列举的这些，如果⼤家想了解更多的⽂件上传的知识，今晚（9⽉15⽇晚上20:00）我们zoneBAI ⽼师将在直播间⼿把⼿带⼤家学习实操， zoneBAI⽼师还会分享我们平时学习不到的⼩技巧哟，都是他多年的经验总结，快扫码预约直播吧！除了⽂件上传，报名本次直播课，你还可以学习密码重置漏洞、⽀付逻辑漏洞、Burp爆破弱⼝令、SQL注⼊、Burp扫描、Metasploit等共计7个课程，每个课程均配套实操训练，⼲货满满，⼀次打包给你。7 节课+7个实战练习 + 30天社群服务+ 作业反馈不要 999 ，也不要 99 ，限时优惠只需要1元，赶紧抢购吧!除了优质的课程和实操，我们还提供1V1班主任督学服务，班主任每天陪伴学员⼀起学习，帮助你⼀起对抗⽇常那些散漫状态，懒惰本能，和畏难情绪，告别学习拖延症。•班级群服务： 打卡学习、答疑讨论、⼲货分享•督学服务： 开课提醒、实操作业•就业服务： 简历优化、就业内推360° 的学习+练习+服务+反馈，让你学完留下的不只是印象，⽽是真正的能⼒！福利！最后，如果你已报名本次课程，想要更多的⿊客⼯具及学习资料，扫描下⽅⼆维码后回复 【⿊客学习】领取。同时，如果你想看看⾃⼰适不适合⼊门⿊客，也可以扫描⼆维码，我们有⼀套完整的测试体系可以帮助你。