当前位置：首页 > news >正文

web第一周任务

news 2026/5/12 4:06:05

一.搭建一个站点并写出一个Hello World网页页面

1.打开phpstudy，在首页开启Apachec2.4.39，MySQL5.7.26

2.点击网站，创建新网站，输入域名为www.demo.com,点击确定，就创建成功了

3.点击站点管理，打开根目录，在根目录中创建一个新的文本文档，命名为index.php

4.右击打开方式中选择vscode打开，输入代码

<?php

echo"Hello World!";

5.保存文档时，选择另存为.php

6.保存完成后，打开phpstudy，点击站点中的打开网站，刷新后就有Hello World新页面

二.文件上传漏洞

文件上传漏洞是Web安全中高频高危漏洞，核心是攻击者利用网站文件上传功能，上传恶意文件（如木马、后门脚本）并执行，进而控制服务器或窃取数据。

1.漏洞核心原理

网站未对上传文件进行严格校验（或校验逻辑可被绕过），导致攻击者上传的恶意文件被服务器接收并执行，关键触发条件：

（1）服务器允许上传文件（如头像、附件、文档功能）；
（2）未校验文件类型、后缀、内容或权限；
（3）上传文件的存储路径可预测（如固定 /upload/ 目录）；
（4）服务器支持上传文件的脚本解析（如PHP、ASP、JSP环境）。

2.常见攻击方法

（1）后缀名绕过

核心：利用服务器/脚本解析规则差异，修改恶意文件后缀（如 shell.php改为shell.php.jpg 、 shell.pHp ）；
典型场景：服务器仅校验后缀名大小写、黑名单不全（遗漏 .php5 .phtml 等后缀）。

（2）MIME类型绕过

核心：篡改HTTP请求头中 Content-Type 字段（如将PHP文件的 application/x-httpd-php 改为 image/jpeg ），欺骗服务器的类型校验。

（3）内容伪装绕过

核心：在恶意脚本前添加合法文件头（如图片文件的 GIF89a 标识），使服务器误认为是图片/文档，上传后通过路径访问执行脚本

（4）路径穿越绕过

核心：上传时构造文件名（如 ../../shell.php ），突破服务器指定的存储目录，将恶意文件写入网站根目录（可直接访问执行）。

（5）服务器解析漏洞利用

核心：利用服务器配置缺陷（如Apache的 AddHandler 配置错误、Nginx的 php_admin_value 不当），使非脚本后缀文件被当作脚本解析（如 shell.jpg 被解析为PHP）。

（6）大小写绕过

3.漏洞危害

（1）网站篡改：上传恶意HTML文件，替换网站首页（挂黑产广告、钓鱼页面）；
（2）服务器入侵：通过木马脚本执行系统命令（如 whoami ls ），窃取服务器文件、数据库账号；
（3）内网横向渗透：控制服务器后，作为跳板攻击内网其他主机；
（4）数据泄露：窃取网站用户数据（账号密码、个人信息），用于黑产交易。

4.防御方案（核心：多重校验+最小权限）

（1）前端校验（作为辅助）

限制文件后缀白名单（仅允许 .jpg .png .doc 等必要格式）；
校验文件大小（防止超大文件DoS攻击）。

（2）后端校验（核心，严格执行）

后缀名校验：用白名单替代黑名单（仅允许指定后缀），拒绝所有可疑后缀（如 .php .asp .jsp 及变种）；
文件类型校验：不依赖 Content-Type ，直接读取文件二进制头（如图片文件头 FFD8FF 89504E47 ）；
内容校验：对上传文件进行解析（如图片用GD库重绘、文档用第三方库校验），剔除恶意代码；
文件名处理：随机生成文件名（如 uuid+后缀），避免路径穿越和文件名猜测。

（3）服务器配置（关键，阻断执行）

上传目录独立存放，禁止脚本解析（如Apache配置 php_flag engine off ，Nginx禁止上传目录执行PHP）；
限制上传目录权限：仅授予「读/写」权限，禁止「执行」权限（对应Linux 644 权限，而非 755 ）；
禁用危险函数：PHP环境通过 php.ini 禁用 exec system eval 等命令执行函数；

部署WAF：通过Web应用防火墙（如阿里云WAF、ModSecurity）拦截恶意上传请求。