Radware2019年Web安全現(xiàn)狀報(bào)告,深入分析了Web安全領(lǐng)域面臨的挑戰(zhàn),以及網(wǎng)絡(luò)安全泄露事件對(duì)互聯(lián)網(wǎng)環(huán)境造成的影響。文章以Web安全領(lǐng)域中的文件上傳漏洞為切入點(diǎn),結(jié)合當(dāng)前Web安全領(lǐng)域的態(tài)勢(shì)情況,跟蹤前沿高危性的文件上傳漏洞,分別對(duì)Apache、Nginx、IIS不同類型的服務(wù)器解析漏洞進(jìn)行探究;分析PHP文件上傳漏洞具體攻擊手段,通過測(cè)試五種不同類型（繞過Javascript前端檢測(cè)、繞過Content-Type檢測(cè)文件類型、利用截?cái)嗌蟼魑募?htaccess文件上傳、構(gòu)造圖片木馬）的PHP文件上傳漏洞,進(jìn)而研究獲取系統(tǒng)權(quán)限的WebShell的攻擊原理;結(jié)合當(dāng)前Web系統(tǒng)應(yīng)用遭受的諸如文件上傳類安全告警事件,通過研討測(cè)試漏洞的危害性,分別從系統(tǒng)開發(fā)和系統(tǒng)運(yùn)行提出技術(shù)上的防御措施。 

【文章來源】：信息通信技術(shù). 2020,14(06)

【文章頁(yè)數(shù)】：7 頁(yè)

【文章目錄】：
引言
1 文件上傳漏洞產(chǎn)生原因
    1.1 Apache服務(wù)器解析漏洞
    1.2 Nginx服務(wù)器解析漏洞
    1.3 IIS服務(wù)器解析漏洞(針對(duì)asp腳本文件)
2 漏洞測(cè)試環(huán)境及工具
    2.1 一句話木馬
    2.2 BurpSuite
    2.3 中國(guó)菜刀
3 文件上傳漏洞測(cè)試研究
    3.1 繞過前端Java Script檢測(cè)擴(kuò)展名上傳Web Shell
    3.2 繞過Content-Type檢測(cè)文件類型
    3.3 利用00截?cái)嗌蟼魑募?br>    3.4 htaccess文件上傳
    3.5 構(gòu)造圖片木馬，繞過文件內(nèi)容檢測(cè)上傳Web Shell
4 文件上傳漏洞防御
    4.1 系統(tǒng)開發(fā)階段的防御
    4.2 系統(tǒng)運(yùn)行階段的防御
5 結(jié)束語


【參考文獻(xiàn)】：
期刊論文
[1]信息安全之Web劫持與流量劫持法律治理研究[J]. 范江波.  信息安全研究. 2019(02)
[2]文件上傳漏洞的攻擊方法與防御措施研究[J]. 郝子希,王志軍,劉振宇.  計(jì)算機(jī)技術(shù)與發(fā)展. 2019(02)
[3]Web應(yīng)用常見注入式安全漏洞檢測(cè)關(guān)鍵技術(shù)綜述[J]. 王丹,趙文兵,丁治明.  北京工業(yè)大學(xué)學(xué)報(bào). 2016(12)
[4]基于行為語義分析的Web惡意代碼檢測(cè)機(jī)制研究[J]. 李道豐,黃凡玲,劉水祥,黃安妮.  計(jì)算機(jī)科學(xué). 2016(08)
[5]Web訪問日志安全分析技術(shù)研究[J]. 張峰,付俊,楊光華,景奕昕,唐威.  北京郵電大學(xué)學(xué)報(bào). 2014(02)



本文編號(hào)：3632840