文件上传Ⅲ

#文件-解析方案-执行权限&解码还原

1、执行权限

文件上传后存储目录不给执行权限(即它并不限制你上传文件的类型,但不会让相应存有后门代码的PHP文件执行,但是PNG图片是可以访问的)

2、解码还原

数据做存储,解析固定(有固定协议:eg: data:image/png;base64,一串base 64编码;

文件后缀名无关,最后都会解析为数据

(上传图片->图片数据-> 一串base64编码)

解决方案:显示图片->base64解码->数据还原

文件上传后利用编码传输--解码还原

实例(数据做存储,解析固定,解码还原未进行演示)

上传2.php文件进行尝试

且发现其将2.php文件里面的后门代码base64编码了

虽然不限制上传文件类型,但由于其固定协议,当成图片解析,并且解析为数据类型!

#文件-存储方案-分站存储&OSS对象

1、分站存储

文件上传成功后,到另一个网址里面存储,并不在原网址里面解析

eg:

在upload.xiaodi8.com上传

却在images.xiaodi8.com存储

2、OSS对象

Access控制-oss对象存储-Bucket对象

文件上传成功后,访问相应网址,一打开就是下载这个文件,并不对这个文件进行解析!

#安全绕过

以上方案除目录设置权限如能更换目录解析(即能将文件存储在其能被解析执行的目录下,再次访问该目录可以上传的php文件可以被解析)绕过外,其他(即解码还原分站存储oss对象)均无解

相关推荐
Spider_Man几秒前
React 组件缓存与 KeepAlive 组件打造全攻略 😎
前端·react.js·typescript
littleplayer2 分钟前
Swift: Combine的错误处理
前端·架构
前端灵派派2 分钟前
openlayer实现定位闪烁
前端
K歌、之王3 分钟前
ubuntu20搭建MQTT
前端·chrome
萌萌哒草头将军3 分钟前
Node.js v24.7.0 新功能预览 🚀🚀🚀
前端·javascript·node.js
然我4 分钟前
性能优化保姆级指南,一篇搞定所有考点💯
前端·面试·性能优化
Jensen麻瓜6 分钟前
只需一个快捷键,补全项目所有缺失翻译
前端
艾小码11 分钟前
90%前端忽略的3大内存黑洞,这样根治性能飙升300%!
前端·javascript·性能优化
wordbaby13 分钟前
Flutter列表渲染的"诡异"问题:为什么我的数据总是第一个?
前端·flutter
葡萄城技术团队15 分钟前
用 evaluateFormulaAsync 实现高效异步公式计算
前端