Day49:WEB攻防-文件上传&存储安全&OSS对象&分站&解析安全&解码还原&目录执行

貌美不及玲珑心，贤妻扶我青云志2024-03-27 11:53

知识点：
1、文件上传-安全解析方案-目录权限&解码还原

2、文件上传-安全存储方案-分站存储&OSS对象

文件-解析方案-目录执行权限&解码还原

1 、执行权限
文件上传后存储目录不给执行权限

2、解码还原

数据做存储，解析固定（文件后缀名无关）

文件上传后利用编码传输解码还原

文件上传后存储目录不给执行权限

文件上传后利用编码(base64)传输并对应解码还原，无解

数据做存储，解析固定（任何文件后缀名都无用）

1 、分站存储
upload.xiaodi8.com 上传

images.xiaodi8.com 存储

2、OSS对象

Access控制-OSS对象存储-Bucket对象

无解，上传和存储的地方不在一个服务器上

无解，把上传的东西放在了云存储桶里(类似一个网盘，专门放东西的地方)

无论什么东西放上去就只是一个文件，如直接访问就会下载

安全绕过：以上方案除目录设置权限如能换目录解析绕过外，其他均无解