Day49:WEB攻防-文件上传&存储安全&OSS对象&分站&解析安全&解码还原&目录执行

目录

文件-解析方案-目录执行权限&解码还原

目录执行权限

解码还原

文件-存储方案-分站存储&OSS对象

分站存储

OSS对象存储


知识点:
1、文件上传-安全解析方案-目录权限&解码还原

2、文件上传-安全存储方案-分站存储&OSS对象

文件-解析方案-目录执行权限&解码还原

1 、执行权限
文件上传后存储目录不给执行权限

2、解码还原

数据做存储,解析固定(文件后缀名无关)

文件上传后利用编码传输解码还原

目录执行权限

文件上传后存储目录不给执行权限

解码还原

文件上传后利用编码(base64)传输并对应解码还原,无解

数据做存储,解析固定(任何文件后缀名都无用)

文件-存储方案-分站存储&OSS对象

1 、分站存储
upload.xiaodi8.com 上传

images.xiaodi8.com 存储

2、OSS对象

Access控制-OSS对象存储-Bucket对象

分站存储

无解,上传和存储的地方不在一个服务器上

OSS对象存储

无解,把上传的东西放在了云存储桶里(类似一个网盘,专门放东西的地方)

无论什么东西放上去就只是一个文件,如直接访问就会下载

安全绕过:以上方案除目录设置权限如能换目录解析绕过外,其他均无解

相关推荐
Chengbei112 小时前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
2301_7803039016 小时前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
技术不好的崎鸣同学20 小时前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全
dehuisun20 小时前
等保2.0实施方案
web安全
treesforest21 小时前
高精度IP定位怎么选?从企业需求出发的选型指南
网络·数据库·tcp/ip·web安全·ip·高精度ip查询
doiito(Do It Together)1 天前
【Web安全,微服务安全】HashiCorp Vault 项目深度分析报告
web安全·微服务·安全架构
2601_962851741 天前
计算机毕业设计之基于SSM的网络安全课程资源分享平台
vue.js·算法·安全·web安全·yolo·目标检测·课程设计
HackTwoHub2 天前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
数据知道2 天前
网络安全工具箱:100+ 工具分类速查与选型建议
安全·web安全·网络安全
txg6662 天前
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞
深度学习·安全·web安全·网络安全·xss