文件操作漏洞

?

常見文件操作：

文件上傳

上傳頭像；

上傳附件；

文件下載

下載應用；

下載附件；

?

文件上傳

上傳Webshell

上傳木馬

文件下載

下載系統任意文件

下載程序代碼

?

?

常見文件操作漏洞：

文件處理不當

1.可以上傳可執行腳本

2.腳本擁有執行權限

?

?

任意文件下載：

1.未驗證下載文件格式

2.未限制請求路徑

文件處理不當

下載數據庫配置文件；

?

危害：系統任意文件被下載而導致：代碼泄漏、數據庫配置文件泄漏、系統文件泄漏等

?

?

文件包含漏洞

1.節約代碼量，讓程序美觀； 如：重復代碼寫入一個文件；

2.用戶上傳的惡意文件，或者遠程文件； 如：jpg/txt/php文件

?

?

文件包含漏洞

本地文件包含

遠程文件包含

?

PHP中常用的文件包含函數

Include()、require()、include_once()、require_once()....

?

測試注意事項：

Allow_url_fopen=On (是否允許打開遠程文件)

Allow_url_include=On (是否允許包含遠文件）

總結

以上是生活随笔為你收集整理的WEB安全基础-文件操作漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。