前段時間,VMware vCenter 爆出了19個重大漏洞,其中最緊迫的是分析服務中的任意文件上傳漏洞,任何可以訪問vCenter Server 的人都可以利用此漏洞,并且無論配置設置如何,都可以訪問并攻擊。對網絡安全和滲透測試感興趣的朋友應該都知道,幾乎每個網站都會有文件上傳的地方,上傳圖片、視頻、壓縮包等等。它可以控制整個網站和服務器,因而與SQL注入相比,該漏洞危害等級極高,風險更大。另一方面,文件上傳漏洞在以文件名為URL特征的程序中比較多見,也就是PHP代碼中的函數。通常情況下,PHP開發者會對上傳文件的后綴名、類型、大小等進行檢查,從而限制惡意文件的上傳,但攻擊者反而會利用漏洞繞過這些限制,直接上傳惡意的文件。它既是Web安全中的一種常見的、基本的漏洞形式,又是日常滲透測試用得最多的一個漏洞,且這種攻擊方式是最為直接和有效的。因此對于安全和滲透工程師來說,是基本的必修課。但你必須知道要想真正利用好該漏洞并不是那么容易的,其中蘊含的很多技巧,也需要投入一定的精力去研究。知己知彼百戰不殆,10月12號晚20:00,跟著【馬哥教育】張翊老師,學習文件上傳的全套知識體系,從產生原因、漏洞原理到繞過方式和使用PHP木馬,60分鐘讓你入門網絡安全!長按或掃描海報二維碼免費觀看直播
