04 2021 档案

摘要：文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。 上传文件操作本身是没有问题的，关键在于文件上传到服务器后，服务器会如何处理和解释此文件。 1、JS检查绕过 网页上写一段javascript脚本，校验上传文件的后缀名，有白名单形式也有黑名单形式。 绕过方 阅读全文

摘要：命令执行与代码执行：没有对用户的输入进行有效的过滤，用户输入与程序员开发的代码拼接后构成完成的可执行的代码段被服务器执行。 漏洞危害 继承Web服务器程序的权限，去执行系统命令 继承Web服务器程序的权限，读写文件 反弹shell 控制整个网站 甚至控制整个服务器 常见的代码执行函数： eval() 阅读全文