首页 > 编程源码 > PHP安全知识第一课

PHP安全知识第一课

楼主：污橘网络 [2级] · 2019-11-1 · 浏览1234 · 编程源码 · ID:

hi，开个新坑教大家PHP的安全防御知识。

第一课是文件上传漏洞

课程会以截图加文字的方式，谢谢。

- 版权声明 - 1、本帖所有言论和图片等纯属网友个人意见，与流星社区立场无关；
2、其他单位或个人使用、转载或引用本帖时必须同时征得该帖子作者污橘网络和流星社区的同意；
3、备注原文地址：https://bbs.liuxingw.com/t/16643.html，可忽略第2条；
4、帖子作者需承担一切因本文发表而直接或间接导致的相关责任；
5、如本帖内容或部分内容转载自其它媒体，这并不代表本站赞同其观点和对其真实性负责；
6、如本帖若为资源类，将仅限用于学习和研究目的，您必须在下载后的24个小时之内，从您安装或使用的设备中彻底删除上述内容；
7、如果您喜欢该程序，请支持正版软件，购买注册，可以得到更好的正版服务；
8、如本帖侵犯到任何版权或违法问题，请立即邮件告知我们，我们将及时予以处理。

10条回复 | 最后回复于2019-11-2

污橘网络 [2级]

首先我们把靶场搭建好，是一个文件上传的网站，他只判断了上传的文件类型是不是图片，没有判断后缀，所以我上传大写的JPG后缀文件可以上传（当然这只是一个猜测）

发布于2019-11-1

回复列表

内容加载中...

说点什么...

污橘网络 [2级]

然后我们打开burp抓包工具，把浏览器代理改成burp目前的代理127.0.0.1 端口是8080
然后我们把大马或者一句话文件的后缀改成jpg，让他以图片的类型去上传，再用burp拦截，把后缀名再改成php进行发包，到达上传效果。
漏洞防御:指定文件上传的时候要判断文件后缀，写个数组存着文件后缀，然后分割上传的文件名，截取文件后缀，进行对比。