安全小课堂第二十二期
上传漏洞, 轻者可以造成xss、被"挂黑页",严重的甚至可以获得服务器权限甚至
system、root权限。本期咱们来聊一聊上传漏洞。
本期邀请到
同程网安全专家range
唯品会安全专家知行者
大家列队欢迎哟~
1
豌豆妹
咱们先了解下最基本的常识:什么是上传漏洞。
葫芦娃
漏洞名字直接解释了,上传漏洞就是由于开发者没有对上传的文件作过滤或者过滤机
制不严格,导致恶意用户可以上传动态脚本页面,从而通过上传的脚本获取到网站的
控制权。上传漏洞很多时候是结合解析漏洞来使用的,当然一些防护差的网站根本不
需要利用解析漏洞,直接上传木马就行了。
小丸子
上传漏洞是指一些上传文件、服务远程更新、更改头像、操作文件等地方对用户提交
的参数没有检查或者过滤的 完整 导致攻击者 以直接上传敏感文件 甚至是