课程概述
本课程帮助学员从原理上了解文件上传漏洞的原理、流程、防御机制以及绕过的方法。从前端检测、服务端检测、以及解析漏洞等方面详细的解释文件上传漏洞的各种利用方法,并介绍图片重绘制绕过、解压缩等方面文件上传利用的高级利用方法。
证书要求
无
预备知识
了解文件上传原理,熟练使用中国菜刀,BurpSuite等工具。
授课大纲
第一章:文件上传漏洞原理与流程
1.1 文件上传漏洞原理
1.2 文件上传检测流程
第二章:前端检测绕过
2.1 浏览器端检测绕过
2.2 提交报文修改检测
第三章:服务端检测绕过
3.1 MIME类型检测绕过
3.2 文件内容检测绕过
3.3 文件扩展名检测绕过
3.4 编辑器漏洞
第四章:解析漏洞
4.1 IIS/Nginx+PHP fastcgi取值错误解析漏洞
4.2 Nginx 文件名逻辑漏洞(CVE-2013-4547)
4.3 Apache解析漏洞(配置错误)
4.4 IIS 5.x/6.0解析漏洞
第五章:文件上传高级利用
5.1 图片重绘
5.2 PHPINFO与文件包含的利用
5.3 在线解压缩漏洞利用
授课老师
所属微专业
所属系列课程
