当前位置: 首页 > news >正文

佛山网站建设怎样做哪里有竞价推广托管

news 2025/8/14 14:10:04
佛山网站建设怎样做,哪里有竞价推广托管,码云可以做博客网站吗,下载好了网站模板怎么开始做网站?文章目录 前言一、pandas是什么?二、使用步骤 1.引入库2.读入数据总结 前言 本文重点从靶场案例分析文件上传漏洞常见的Pylod,本文演示靶场upload-labs 一.文件类型---Pyload 不同的文件对应不同的文件类型,后端代码通过限制特定的文件类型…

文章目录

  • 前言
  • 一、pandas是什么?
  • 二、使用步骤
    • 1.引入库
    • 2.读入数据
  • 总结

前言

本文重点从靶场案例分析文件上传漏洞常见的Pylod,本文演示靶场upload-labs

一.文件类型---Pyload

不同的文件对应不同的文件类型,后端代码通过限制特定的文件类型防止文件上传漏洞被利用,简单来说防止利用文件上传漏洞上传webshell,后端会禁止.php后缀的文件所代表的文件类型,从而限制.php文件的上传,下面是一些常见文件的文件类型:

.txt - text/plain
.html - text/html
.php - application/octet-stream
.css - text/css
.js - application/javascript 或 text/javascript
.png - image/png
.jpg 或 .jpeg - image/jpeg
.gif - image/gif
.pdf - application/pdf
.doc 或 .docx - application/vnd.openxmlformats-officedocument.wordprocessingml.document 或 
.zip - application/zip
.mp3 - audio/mpeg
.mp4 - video/mp4

演示案例:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {if (file_exists($UPLOAD_ADDR)) {#检查文件类型代码if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {$img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];$is_upload = true;}} else {$msg = '文件类型不正确,请重新上传!';}} else {$msg = $UPLOAD_ADDR.'文件夹不存在,请手工创建!';}
}

 上述代码采用白名单模式,仅支持文件类型为image/jpeg+image/png+image/gif 的文件上传,因此可以通过BurpSuite更改上传的webshell的请求包中的文件类型为image/jpeg。 

二.文件后缀名

通过禁止特定后缀的文件防止webshell上传

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {if (file_exists($UPLOAD_ADDR)) {$deny_ext = array('.asp','.aspx','.php','.jsp');$file_name = trim($_FILES['upload_file']['name']);$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = strtolower($file_ext); //转换为小写$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext = trim($file_ext); //收尾去空if(!in_array($file_ext, $deny_ext)) {if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) {$img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name'];$is_upload = true;}} else {$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';}} else {$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';}
}

Apache服务器的配置文件中包含如下语句告诉浏览器将哪些后缀的文件解析为.php文件

AddType application/x-httpd-php .php .php3 .phtml

所以可以通过将.php的后缀改为上述后缀如.php3来绕过防御代码。

总结

http://www.yidumall.com/news/94484.html

相关文章:

  • 网站模板htmlseo推广培训中心
  • 做网站的背景照什么是网络软文营销
  • 深圳集团网站开发策划推广活动方案
  • 襄阳做网站比较有实力的公司杭州seo搜索引擎优化公司
  • 海门做网站公司上海站优云网络科技有限公司
  • 动态网站建设论文百度云网盘免费资源
  • 邢台企业做网站哪儿好网络营销主要是学什么的
  • 网站怎么做百度优化seo简单优化操作步骤
  • 网站二级域名怎么自己建网站
  • 网站收藏链接怎么做的天津的网络优化公司排名
  • 有没有教做熟食的网站自助建站网
  • 网站怎样排名靠前佛山网站排名提升
  • 建设网站上申请劳务资质谷歌play商店官网
  • 做网站的工具有哪些郑州seo优化外包顾问阿亮
  • p2p网站做牛站长查询工具
  • 做网络歌手的网站seo实战技术培训
  • 网站为什么提示风险谷歌 翻墙入口
  • 日本网站建设东营网站建设制作
  • 动态手机网站怎么做seo的中文含义是什么意思
  • 做网站的公司怎么拓展业务关键词什么意思
  • 网站开发公司员工叫什么名字如何做网络营销
  • 做外贸的物流网站有哪些四年级2023新闻摘抄
  • 驻马店专业做网站公司网络竞价推广开户
  • 百度做网站吗网站关键词优化教程
  • 大型网站建设价格网站优化企业排名
  • 备案用的网站建设方案书怎么写境外电商有哪些平台
  • 简单的网站建设步骤2023新闻摘抄十条
  • 企业网站搜索优化外包seo站内优化
  • 快三网站开发深圳网络营销信息推荐
  • 石家庄在线制作网站合肥网站建设