Radware2019年Web安全現(xiàn)狀報告,深入分析了Web安全領域面臨的挑戰(zhàn),以及網(wǎng)絡安全泄露事件對互聯(lián)網(wǎng)環(huán)境造成的影響。文章以Web安全領域中的文件上傳漏洞為切入點,結合當前Web安全領域的態(tài)勢情況,跟蹤前沿高危性的文件上傳漏洞,分別對Apache、Nginx、IIS不同類型的服務器解析漏洞進行探究;分析PHP文件上傳漏洞具體攻擊手段,通過測試五種不同類型（繞過Javascript前端檢測、繞過Content-Type檢測文件類型、利用截斷上傳文件、.htaccess文件上傳、構造圖片木馬）的PHP文件上傳漏洞,進而研究獲取系統(tǒng)權限的WebShell的攻擊原理;結合當前Web系統(tǒng)應用遭受的諸如文件上傳類安全告警事件,通過研討測試漏洞的危害性,分別從系統(tǒng)開發(fā)和系統(tǒng)運行提出技術上的防御措施。 

【文章來源】：信息通信技術. 2020,14(06)

【文章頁數(shù)】：7 頁

【文章目錄】：
引言
1 文件上傳漏洞產生原因
    1.1 Apache服務器解析漏洞
    1.2 Nginx服務器解析漏洞
    1.3 IIS服務器解析漏洞(針對asp腳本文件)
2 漏洞測試環(huán)境及工具
    2.1 一句話木馬
    2.2 BurpSuite
    2.3 中國菜刀
3 文件上傳漏洞測試研究
    3.1 繞過前端Java Script檢測擴展名上傳Web Shell
    3.2 繞過Content-Type檢測文件類型
    3.3 利用00截斷上傳文件
    3.4 htaccess文件上傳
    3.5 構造圖片木馬，繞過文件內容檢測上傳Web Shell
4 文件上傳漏洞防御
    4.1 系統(tǒng)開發(fā)階段的防御
    4.2 系統(tǒng)運行階段的防御
5 結束語


【參考文獻】：
期刊論文
[1]信息安全之Web劫持與流量劫持法律治理研究[J]. 范江波.  信息安全研究. 2019(02)
[2]文件上傳漏洞的攻擊方法與防御措施研究[J]. 郝子希,王志軍,劉振宇.  計算機技術與發(fā)展. 2019(02)
[3]Web應用常見注入式安全漏洞檢測關鍵技術綜述[J]. 王丹,趙文兵,丁治明.  北京工業(yè)大學學報. 2016(12)
[4]基于行為語義分析的Web惡意代碼檢測機制研究[J]. 李道豐,黃凡玲,劉水祥,黃安妮.  計算機科學. 2016(08)
[5]Web訪問日志安全分析技術研究[J]. 張峰,付俊,楊光華,景奕昕,唐威.  北京郵電大學學報. 2014(02)



本文編號：3632840