文档介绍:黑客攻防秘技实战解析(第2版)
网络上传漏洞的攻击与防范
♂多余映射与上传攻击
♂空格、点与Windows命令机制的漏洞
♂二次循环产生的上传漏洞
♂ Windows特殊字符产生的漏洞
♂ FilePath与Filename变量欺骗检测
多余映射与上传攻击
stm与shtm的映射攻击
防范措施
具体的操作步骤如下:
步骤1:下载并在运行“”主页,如图10-2所示。单击【立即注册】超链接按钮即可打开注册页面,在其中注册一个新用户,其用户名为ziyifeng,密码为123456,如图10-3所示。
具体的操作步骤如下:
步骤2:注册完成后在主页的登录区域中输入用户名和密码,单击【登录】按钮,即可进入【个人信息】窗口,如图10-4所示。单击左侧功能列表中的【管理网站】按钮,即可进入【网站管理】窗口,如图10-5所示。
具体的操作步骤如下:
步骤3:单击【上传文件】按钮,即可打开【上传文件】窗口,如图10-6所示。单击其中的【浏览】按钮,即可打开【选择文件】对话框,在其中选择需要上传的文件,,如图10-7所示。
具体的操作步骤如下:
步骤4:单击【打开】按钮,即可在【上传文件】窗口中看到刚添加的文件,如图10-8所示。单击【开始上传】按钮,即可看到【发生错误】提示框,在其中可以看到返回的错误信息,提示非法的文件,如图10-9所示。
具体的操作步骤如下:
步骤5:为了成功上传网页文件,可以改变其文件扩展名(、.cer、.cdx),将准备上传的文件名改为“”,如图10-10所示。
步骤6:单击【开始上传】按钮,即可看到【一个文件上传成功】提示信息,如图10-11所示。这表明“”程序没有对asa格式的文件进行过滤。
具体的操作步骤如下:
步骤7:单击【关闭】按钮,即可在【网站管理】窗口的上传文件列表中看到新上传的文件,如图10-12所示。单击刚上传文件的链接,即可访问刚上传文件,如图10-13所示。黑客们经常都是使用这种方法上传网页的***文件的。
点与Windows命名机制的漏洞
Windows命名机制与程序漏洞
变换文件名产生的漏洞