Bảo mật - Bảo mật ứng dụng web
- quaivatit
- March 16, 2012
- Bảo mật - Bảo mật ứng dụng web
- 3,171 views
Phân tích lổ hỏng upload file và cách phòng chống (P1)
Trong phần này, mình sẽ đề cập tới vấn đề upload file, 1 phần không thể thiếu trong website động - Đây là lổi từ nhà lập trình,
Nếu trong website cho phép upload file, mà lại không kiểm tra phần mở rộng hoặc kiểm tra quá sơ sài thì hacker up bất cứ cái gì họ muốn lên website. (Cụ thể hơn, họ sẽ up SHELL để điều khiển website)
Vấn đề mong muốn upload file hình (jpg, gif, png, jpeg) lên website
1. Upfile không thông qua 1 cơ chế kiểm tra nào
Điều này quả thật quá nguy hiểm phải không các bạn, nếu mình là hacker, gặp tình huống này quá tuyệt rồi còn gì? up shell thôi. hehe
2. Kiểm tra phần mở rộng ở phía client (Sử dụng Javascript hoặc VBScript)
Hacker sẽ làm gì khi gặp tình huống này? Họ có nhiều cách lắm các bạn.
-- Cách đơn giản, họ lưu file này về máy họ, xóa bỏ thuộc tính onsubmit trong form và thêm đầy đủ url trong action thế là họ up shell thoải mái mà không bị cản trở gì.
--Nếu server cấm referrer thì .... họ ... tắt thực thi script trên browser là xong. hehe..
Công ty thiết kế website, lập trình phần mềm NEVICOM
Bài viết khác:
- Email Class PHP - Gửi Email bằng SMTP server. Full class_smtp source php
07/06/2012
- Gửi mail SMTP - PHP đơn giản nhất - Send Mail using SMTP and PHP
01/06/2012
- OpenID là gì | hướng dẫn cách sử dụng OpenID của yahoo, gmail bằng PHP. Đăng nhập gmail, yahoo bằng PHP
26/05/2012
- Ajax file upload - upload file tự động bằng PHP sử dụng ajax
26/05/2012
- Xử lý XML trong PHP5 một cách nhanh chóng và hiệu quả
26/05/2012
- 17 tùy biến .htaccess để cấu hình lại website, cấu hình lại appache để website bạn chạy theo ý muốn mình
19/05/2012
- Sao file .htaccess không chạy được trên windows? không chạy trên localhost
19/05/2012
- Help me! Làm sao để tạo được file .htaccess trên windows?
19/05/2012
- Đăng nhập vào quản trị không cần biết mật khẩu, kỹ thuật gọi là bypass login.
28/03/2012
- PHP code tạo captcha chống auto spam đơn giản, học PHP ai cũng có thể làm được
02/03/2012
- PHP căn bản: Bài 1 - Hướng dẫn cài đặt webserver trên windows - để chạy được php trên máy tính của mình
17/02/2012
Bình luận