-
题名基于PHP文件上传漏洞的攻击与防御研究
被引量:4
- 1
-
-
作者
周琳娜
刘旭东
刘冰妍
-
机构
北京邮电大学
国家工业信息安全发展研究中心
中国人民大学
-
出处
《信息通信技术》
2020年第6期32-38,共7页
-
文摘
Radware2019年Web安全现状报告,深入分析了Web安全领域面临的挑战,以及网络安全泄露事件对互联网环境造成的影响。文章以Web安全领域中的文件上传漏洞为切入点,结合当前Web安全领域的态势情况,跟踪前沿高危性的文件上传漏洞,分别对Apache、Nginx、IIS不同类型的服务器解析漏洞进行探究;分析PHP文件上传漏洞具体攻击手段,通过测试五种不同类型(绕过Javascript前端检测、绕过Content-Type检测文件类型、利用截断上传文件、.htaccess文件上传、构造图片木马)的PHP文件上传漏洞,进而研究获取系统权限的WebShell的攻击原理;结合当前Web系统应用遭受的诸如文件上传类安全告警事件,通过研讨测试漏洞的危害性,分别从系统开发和系统运行提出技术上的防御措施。
-
关键词
WEB安全
文件上传
WEBSHELL
服务器解析漏洞
PHP
-
Keywords
Web Security
File Upload
Webshell
Server Parsing Vulnerability
PHP
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
