Radware2019年Web安全现状报告,深入分析了Web安全领域面临的挑战,以及网络安全泄露事件对互联网环境造成的影响。文章以Web安全领域中的文件上传漏洞为切入点,结合当前Web安全领域的态势情况,跟踪前沿高危性的文件上传漏洞,分别对Apache、Nginx、IIS不同类型的服务器解析漏洞进行探究;分析PHP文件上传漏洞具体攻击手段,通过测试五种不同类型(绕过Javascript前端检测、绕过Content-Type检测文件类型、利用截断上传文件、.htaccess文件上传、构造图片木马)的PHP文件上传漏洞,进而研究获取系统权限的WebShell的攻击原理;结合当前Web系统应用遭受的诸如文件上传类安全告警事件,通过研讨测试漏洞的危害性,分别从系统开发和系统运行提出技术上的防御措施。

• 单位
  北京邮电大学; 中国人民大学