当前位置: 首页 > article >正文

文件上传漏洞挖掘与防御全解析

article 2026/5/6 15:57:30
文件上传漏洞挖掘方法理解文件上传漏洞原理文件上传漏洞通常出现在Web应用程序允许用户上传文件但未对文件类型、内容或扩展名进行严格验证时。攻击者可上传恶意文件如Webshell到服务器进而执行任意代码或控制服务器。常见的文件上传漏洞类型客户端验证绕过仅依赖JavaScript验证文件类型服务端未验证MIME类型仅检查HTTP头中的Content-Type黑名单过滤不完善未覆盖所有危险扩展名如.php5,.phtml解析漏洞服务器配置错误导致文件被错误解析挖掘方法检查客户端验证机制尝试直接修改HTTP请求中的Content-Type或文件扩展名使用Burp Suite拦截并修改上传请求。将image/jpeg改为application/x-php或将test.jpg改为test.php。测试服务端过滤规则上传不同扩展名的文件测试过滤规则常规图片扩展名.jpg,.png,.gifPHP变种扩展名.php3,.php4,.php5,.phtml大小写变体.PhP,.pHp特殊字符test.php%00.jpg测试双重扩展名绕过尝试组合扩展名如file.php.jpg file.php%00.jpg file.php\x00.jpg测试MIME类型绕过修改Content-Type头为合法类型Content-Type: image/jpeg 实际文件内容为PHP代码测试文件内容验证在合法图片尾部追加PHP代码copy /b normal.jpg shell.php output.jpg测试解析漏洞针对特定服务器环境尝试IIS6.0/shell.asp;.jpgApacheshell.php.jpg配置错误时可能被解析为PHPNginxCVE-2013-4547测试目录穿越在文件名中包含路径遍历序列../../../shell.php防御建议使用白名单验证文件扩展名和MIME类型重命名上传文件为随机名称存储上传文件在非Web可访问目录使用单独的子域名托管用户上传内容对图片文件进行二次渲染处理设置严格的服务器解析规则自动化工具Burp Suite手动测试和修改上传请求OWASP ZAP自动化扫描文件上传功能Upload Bypass专门测试文件上传漏洞的工具注意事项测试文件上传漏洞需获得授权未经授权的测试可能违反法律。测试时应使用无害的验证脚本而非实际恶意代码。

相关文章:

文件上传漏洞挖掘与防御全解析

文件上传漏洞挖掘方法理解文件上传漏洞原理 文件上传漏洞通常出现在Web应用程序允许用户上传文件但未对文件类型、内容或扩展名进行严格验证时。攻击者可上传恶意文件(如Webshell)到服务器,进而执行任意代码或控制服务器。常见的文件上传漏洞…...

编程日记 2026/5/6 15:57:30

SeqGPT-560M实战教程:增量学习新字段——仅用10条样本微调适配垂直领域

SeqGPT-560M实战教程:增量学习新字段——仅用10条样本微调适配垂直领域 SeqGPT-560M是一个基于先进架构的企业级智能信息抽取系统,专门针对非结构化文本处理而设计。该系统在双路NVIDIA RTX 4090高性能计算环境下,能够实现毫秒级的命名实体识…...

编程日记 2026/5/6 10:58:56

nli-MiniLM2-L6-H768效果惊艳:对抗样本测试——同义词替换下entailment分数波动<8%

nli-MiniLM2-L6-H768效果惊艳&#xff1a;对抗样本测试——同义词替换下entailment分数波动<8% 1. 模型核心能力解析 nli-MiniLM2-L6-H768 是一个轻量级自然语言推理&#xff08;NLI&#xff09;模型&#xff0c;专注于文本对关系判断而非内容生成。这个模型的核心价值在于…...

编程日记 2026/5/5 14:06:27

Code Interpreter SDK 终极指南:为AI应用注入代码执行能力

Code Interpreter SDK 终极指南&#xff1a;为AI应用注入代码执行能力 【免费下载链接】code-interpreter Python & JS/TS SDK for running AI-generated code/code interpreting in your AI app 项目地址: https://gitcode.com/gh_mirrors/co/code-interpreter Co…...

编程日记 2026/5/5 12:40:23

别再只盯着网络结构图了!YOLOv7的‘模型缩放’与‘标签分配’才是工程落地的关键

YOLOv7工程实践&#xff1a;模型缩放与标签分配如何重塑目标检测落地效果 当算法工程师第一次打开YOLOv7论文时&#xff0c;目光往往会被那些复杂的网络结构图吸引——从E-ELAN模块到重参数化卷积&#xff0c;再到特征金字塔的巧妙设计。但真正将模型部署到安防摄像头或车载计算…...

编程日记 2026/5/5 23:51:41

从TensorFlow 1.x的‘Session.run’到2.x的‘Eager Execution’:一个老项目迁移的踩坑实录

从TensorFlow 1.x到2.x的迁移实战&#xff1a;Eager Execution带来的范式革命 当我在2020年第一次尝试将一个生产环境的推荐系统从TensorFlow 1.15升级到2.3时&#xff0c;原本以为只需要简单修改几个API调用。但实际打开代码仓库后&#xff0c;面对满屏的tf.Session()和feed_d…...

编程日记 2026/5/5 15:40:13

如何用Crane在30分钟内开始你的云成本优化之旅

如何用Crane在30分钟内开始你的云成本优化之旅 【免费下载链接】crane Crane is a FinOps Platform for Cloud Resource Analytics and Economics in Kubernetes clusters. The goal is not only to help users to manage cloud cost easier but also ensure the quality of ap…...

编程日记 2026/5/6 13:54:47

告别训练慢、精度低:手把手教你用NanoDet-Plus的AGM模块加速模型收敛

NanoDet-Plus实战&#xff1a;用AGM模块突破轻量检测模型的训练瓶颈 在目标检测领域&#xff0c;轻量级模型始终面临着精度与速度的艰难平衡。当我们把模型体积压缩到极致时&#xff0c;常常会遇到训练收敛缓慢、指标波动大的困扰。NanoDet-Plus引入的Assign Guidance Module(A…...

编程日记 2026/5/5 15:05:33

Gemma-4-26B-A4B-it-GGUF保姆级教程:Supervisor服务管理命令速查与故障修复

Gemma-4-26B-A4B-it-GGUF保姆级教程&#xff1a;Supervisor服务管理命令速查与故障修复 1. 项目概述 Gemma-4-26B-A4B-it-GGUF 是 Google Gemma 4 系列中高性能、高效能的 MoE&#xff08;混合专家&#xff09;聊天模型&#xff0c;具有以下核心特性&#xff1a; 架构&#…...

编程日记 2026/5/6 9:04:56

ReactPress:用现代前端工具链开发WordPress主题的实践指南

1. 项目概述&#xff1a;当WordPress遇见React如果你和我一样&#xff0c;常年混迹在Web开发的前后端&#xff0c;那你一定对WordPress和React这两个名字不陌生。WordPress&#xff0c;这个占据了全球超过四成网站市场的“老大哥”&#xff0c;以其强大的内容管理能力和海量的主…...

编程日记 2026/5/5 14:28:13

CogVideoX-2b技术拆解:Web界面如何调用本地模型服务

CogVideoX-2b技术拆解&#xff1a;Web界面如何调用本地模型服务 1. 引言&#xff1a;从文字到视频的本地化创作 想象一下&#xff0c;你有一个创意想法&#xff0c;想要把它变成一段短视频。传统方式需要学习复杂的视频编辑软件&#xff0c;或者花费高价聘请专业团队。但现在…...

编程日记 2026/5/5 19:34:51

coze-loop精彩效果:同一段代码在‘提效’‘可读’‘修Bug’三模式下的差异化输出

coze-loop精彩效果&#xff1a;同一段代码在‘提效’‘可读’‘修Bug’三模式下的差异化输出 你是不是也遇到过这种情况&#xff1f;写了一段代码&#xff0c;跑起来没问题&#xff0c;但总觉得哪里不对劲。可能是效率有点低&#xff0c;也可能是几个月后自己都看不懂了&#…...

编程日记 2026/5/5 17:48:07

学术期刊名称智能缩写:原理、实现与自动化工具应用

1. 项目概述&#xff1a;一个学术人的“省字”利器 如果你和我一样&#xff0c;常年混迹在学术圈&#xff0c;或者需要频繁撰写包含大量参考文献的论文、报告&#xff0c;那你一定对参考文献列表的格式要求深恶痛绝。尤其是期刊名称的缩写&#xff0c;不同出版社、不同学科领域…...

编程日记 2026/5/6 15:35:52

基于华为MetaERP的技术架构特性,我将从4A架构(业务架构、应用架构、数据架构、技术架构)四个维度,为您系统对比Inside模式与Outside模式的差异

基于华为MetaERP的技术架构特性&#xff0c;我将从4A架构&#xff08;业务架构、应用架构、数据架构、技术架构&#xff09;四个维度&#xff0c;为您系统对比Inside模式与Outside模式的差异&#xff0c;并给出应用开发的决策建议。一、核心概念界定在华为MetaERP体系下&#x…...

编程日记 2026/5/5 13:15:23

字符串匹配:暴力法和KMP算法(C语言)

文章目录KMP算法1.串的定义1.1定长顺序存储和变长分配存储表示1.2 串的初始化2.串的匹配2.1 暴力查找2.2 KMP算法KMP算法的思想手动算next数组next数组值的规律代码全部代码KMP算法 1.串的定义 串&#xff08;字符串&#xff09;是一种特殊的线性表&#xff0c;其数据元素是字…...

编程日记 2026/5/6 13:54:30

时间序列模型总体分类

目录 第一类&#xff1a;时间被“修理”的模型 &#xff08;AR / MA / ARMA / ARIMA / SARIMA) 第二类&#xff1a;时间被“分解”为结构&#xff08;Holt / Holt–Winters / BSTS) 第三类&#xff1a;时间 潜在状态的演化&#xff08;Linear Gaussian SSM / Kalman Filter…...

编程日记 2026/5/6 8:41:03

jQuery vs Bootstrap:全面对比

jQuery vs Bootstrap&#xff1a;全面对比一、本质区别&#xff08;核心定位&#xff09;二、技术架构对比jQuery&#xff1a;JavaScript工具库Bootstrap&#xff1a;CSS框架 UI组件三、功能领域对比jQuery专注的领域Bootstrap专注的领域四、历史关系与演进依赖关系变化时代背…...

编程日记 2026/5/5 17:33:26

MathModelAgent:基于LLM智能体的数学建模自动化框架解析与实践

1. 项目概述&#xff1a;当数学建模遇上智能体如果你参与过数学建模竞赛&#xff0c;或者在工作中处理过需要将现实问题抽象为数学模型的任务&#xff0c;你大概率会记得那种感觉&#xff1a;面对一个全新的问题领域&#xff0c;你需要快速学习背景知识、定义变量、寻找合适的数…...

编程日记 2026/5/6 17:43:44

Milk-V Titan主板:RISC-V架构的迷你ITX高性能解决方案

1. Milk-V Titan主板概览&#xff1a;RISC-V架构的迷你ITX新选择Milk-V Titan是一款基于RISC-V架构的迷你ITX主板&#xff0c;搭载UltraRISC UR-DP1000八核处理器&#xff0c;主打高性能计算与扩展能力。作为市面上少有的支持PCIe Gen4 x16插槽的RISC-V主板&#xff0c;它填补了…...

编程日记 2026/5/6 13:55:29

多模态提示优化:释放大语言模型潜力的关键技术

1. 多模态提示优化的核心价值在2023年大语言模型爆发式发展的背景下&#xff0c;多模态大语言模型&#xff08;MLLMs&#xff09;正在重塑人机交互的范式。但许多开发者发现&#xff0c;同样的模型在不同团队手中表现差异巨大——这背后往往不是算力或数据的差距&#xff0c;而…...

编程日记 2026/5/6 8:52:59

基于LLaMA与LoRA的中文大模型低资源微调实战指南

1. 项目概述&#xff1a;中文低资源指令微调方案如果你关注过2023年初的AI社区&#xff0c;一定记得那场由Meta的LLaMA模型引发的“开源大模型狂欢”。一夜之间&#xff0c;仿佛人人都想拥有一个能理解指令、能对话、能写代码的“私人AI助手”。但现实很骨感&#xff1a;动辄数…...

编程日记 2026/5/5 15:46:44

PromptBridge技术:实现大模型提示词跨平台适配

1. 项目背景与核心价值在AI技术快速迭代的今天&#xff0c;大语言模型&#xff08;LLM&#xff09;已经成为各行业智能化转型的核心驱动力。但不同厂商的模型架构、训练数据和接口规范存在显著差异&#xff0c;这导致针对特定模型精心设计的提示词&#xff08;prompt&#xff0…...

编程日记 2026/5/5 9:59:37

GPTyped:基于AI的TypeScript类型自动生成工具实战指南

1. 项目概述&#xff1a;当TypeScript遇见GPT&#xff0c;一种全新的代码生成范式如果你和我一样&#xff0c;长期在TypeScript生态里摸爬滚打&#xff0c;那你一定对类型安全又爱又恨。爱的是它能在编译期就揪出无数低级错误&#xff0c;恨的是为了写出完美的类型定义&#xf…...

编程日记 2026/5/5 16:27:25

LLM推理优化:Reinforce-Ada-Seq自适应采样技术解析

1. 项目背景与核心价值在大型语言模型&#xff08;LLM&#xff09;推理过程中&#xff0c;计算资源消耗一直是制约实际应用的关键瓶颈。传统固定采样策略往往导致大量无效计算&#xff0c;特别是在处理长文本或复杂推理任务时&#xff0c;这种低效问题尤为突出。Reinforce-Ada-…...

编程日记 2026/5/5 21:26:29

【读书笔记】《武则天》

《武则天》&#xff1a;中国历史上唯一女皇帝武则天一、读这本书的理由&#xff1a;打破文化遮蔽 我们对武则天的认知&#xff0c;大多来自电视剧——冯宝宝版、刘晓庆版、《大明宫词》……这些影视作品中蕴含着大量民间传说、文化偏见与戏剧冲突的需要&#xff0c;与历史事实相…...

编程日记 2026/5/5 8:36:15

安卓应用开发中 Android 11+ 软件包可见性问题详解

文章目录安卓应用开发中 Android 11 软件包可见性问题详解一、问题现象二、产生原因2.1 软件包可见性策略2.2 受影响的 API2.3 为什么引入此限制&#xff1f;三、解决方案3.1 使用 <queries> 声明需要访问的应用3.1.1 按包名声明3.1.2 按 Intent 过滤器声明3.1.3 混合使用…...

编程日记 2026/5/5 14:59:27

Remotion 用 React 写视频的设计原则与生产场景

教育培训内容创作者经常面临一个棘手的场景&#xff1a;把 PDF 课件转成带讲解音频和动画的完整教学视频时&#xff0c;传统剪辑软件总是在音频同步、批量个性化、以及后期迭代上卡住。手动对齐每一帧动画&#xff0c;调整几十个课件的变体&#xff0c;时间和精力消耗巨大。而 …...

编程日记 2026/5/6 13:27:55

AI自动化内容发布:基于MCP协议构建Substack智能助手

1. 项目概述&#xff1a;一个让AI帮你写Substack的“智能副驾”最近在折腾AI工作流的朋友&#xff0c;可能都听说过MCP&#xff08;Model Context Protocol&#xff09;这个概念。简单来说&#xff0c;它就像给AI大模型&#xff08;比如Claude、GPT&#xff09;装上了一套标准化…...

编程日记 2026/5/5 14:26:34

LabVIEW中NI-DAQmx触发技术及应用

NI-DAQmx触发技术是LabVIEW环境下数据采集&#xff08;DAQ&#xff09;的核心功能&#xff0c;用于实现采集过程与外部事件同步&#xff0c;仅捕获感兴趣信号区域&#xff0c;节省硬件带宽与内存。其支持模拟、数字两类触发及预触发、后触发两种采集模式&#xff0c;可通过LabV…...

编程日记 2026/5/6 15:01:28

数据采集系统隐性成本分析与NI-DAQmx技术优势

1. 数据采集系统的隐性成本解析在工业自动化和测试测量领域&#xff0c;数据采集&#xff08;DAQ&#xff09;系统是获取物理世界信息的关键通道。从业十余年&#xff0c;我见过太多项目在初期只关注硬件采购成本&#xff0c;却在后期被各种隐性时间成本拖垮预算。根据行业调查…...

编程日记 2026/5/5 13:23:01