文件上传漏洞是Web应用系统中一种常见的漏洞类型,攻击者利用Web应用系统对上传文件检测的不充分缺陷,实施可执行脚本的上传.攻击者利用该漏洞将网站后门(WebShell)上传到Web应用服务器,进而通过访问获取Web站点的权限,可以对Web应用服务器中的数据进行窃取以及进一步对Web应用服务器的渗透.研究分析了文件上传以及常见的检测防御手段,对上传漏洞攻击手段进行归纳分析,并针对DVWA漏洞环境中的文件上传漏洞,运用归纳的攻击方法进行了实践检验,最后对文件上传攻击防御方法进行归纳并作未来展望.

• 单位
  中山大学