WEB漏洞-文件上传之WAF绕过及安全修复

#上传参数解析:

Content-disposition:一般不可更改

Name:表单参数值,不能更改(更改需要达到统一)

Filename:文件名,可以更改

Content-type:文件MIME,视情况更改

#常见绕过方法:

数据溢出-防匹配(xxx...)---垃圾数据溢出(容易将服务器弄崩溃)

Name前加";"

符号变异-防匹配(' " ;)

符号替换、去掉尾、去掉符号、双写/多写符号、、、、、

注:将图中单个双引号替换为单个单引号,甚至去掉符号,都可以实现绕过的功能。但将前面的引号去掉,还是会被拦截---跟安全软件自身的匹配规则有关。

或者根据前面的测试,将x.php写到引号外

;-----代表一个语句的结束

"x.jpg;.php"----安全软件会当成x.jpg文件,但数据包又会解析成为一个php文件

数据截断-防匹配(%00 ; 换行)

如果写:filename="a.php%00.jpg"----可以绕过安全软件成功上次,但数据包会解析成jpg文件,无法当成php后门。

换行---换行符("\n")或者在数据包中直接回车(属于将数据分块传输---但有限制条件)

数据重复-防匹配(参数多次)

递归循环(验证的次数)

白名单技术-----将x.php当成正常数据(重复数据)

"/"也可作为绕过条件

Upload_fuzz 测试

链接地址:

GitHub - fuzzdb-project/fuzzdb: Dictionary of attack patterns and primitives for black-box application fault injection and resource discovery.

GitHub - TheKingOfDuck/fuzzDicts: Web Pentesting Fuzz 字典,一个就够了。

#文件上传安全修复方案

后端验证:采用服务端验证模式

后缀检测:基于黑名单,白名单过滤

MIME检测:基于上传自带类型检测

内容检测:文件头,完整性检测

利用自带的函数:(upload中许多的过滤函数)

自定义函数过滤:黑白名单自定义、限定文件类型

WAF防护产品:宝塔、云盾、安全公司产品。

相关推荐
xixixi777778 小时前
三大 AI 安全里程碑:Akamai 高危风险预警、智能体水印强制落地、PQC 量子安全全产业链统一
大数据·人工智能·安全·ai·大模型·智能体·政策
hz5678911 小时前
电子远程评标系统哪家好?安全、合规、易用平台评测指南
安全·云计算·音视频·实时音视频·信息与通信
MartinYeung511 小时前
[论文学习]大语言模型安全综述:攻击、防御、对齐、度量与护栏的深度解析
学习·安全·语言模型
卓豪终端管理13 小时前
企业数据防泄漏:现代设备控制如何成为终端安全的关键防线
安全
技术不好的崎鸣同学15 小时前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全
GEO_youxuan19 小时前
2026年儿童电话手表推荐:定位精度、通话安全与健康监测深度横评
安全
数据知道19 小时前
安全报告怎么写才专业:渗透测试报告模板与踩坑
安全·网络安全·漏洞修复·安全报告·渗透测试报告
doiito20 小时前
【安全,架构】RustyVault 项目深度分析报告以及和HashiCorp Vault的差异
后端·安全·rust
2601_9628517421 小时前
计算机毕业设计之基于SSM的网络安全课程资源分享平台
vue.js·算法·安全·web安全·yolo·目标检测·课程设计
ylscode1 天前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全