一.文件上传
文件上传就是将客户端的文件上传到服务器的过程称为文件上传。比如QQ空间发表说说上传的图片、招聘网上传简历、个人主页修改头像等,这些都是文件上传。
二.文件上传漏洞
上传文件的时候,如果服务器端后端语言未对上传的文件进行严格的验证和过滤,就容易造成上传任意文件的情况。常见场景是web服务器允许用户上传图片或者普通文本文件保存,而攻击者绕过上传机制上传恶意代码文件并执行从而控制服务器。
这个恶意的代码文件(php、asp、aspx、jsp等),又被称WebShell。
三.漏洞危害
攻击者通过上传恶意文件传递给解释器去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理、命令执行等恶意操作。从而控制整个网站,甚至是服务器。
四.前提条件
- 能上传webshell
- webshell路径可知
- webshell可以被访问
- webshell可以被解析
五.文件检测的方式
-
-
六.如何判断检测方式
-