前段时间,VMware vCenter 爆出了19个重大漏洞,其中最紧迫的是分析服务中的任意文件上传漏洞,任何可以访问vCenter Server 的人都可以利用此漏洞,并且无论配置设置如何,都可以访问并攻击。对网络安全和渗透测试感兴趣的朋友应该都知道,几乎每个网站都会有文件上传的地方,上传图片、视频、压缩包等等。它可以控制整个网站和服务器,因而与SQL注入相比,该漏洞危害等级极高,风险更大。另一方面,文件上传漏洞在以文件名为URL特征的程序中比较多见,也就是PHP代码中的函数。通常情况下,PHP开发者会对上传文件的后缀名、类型、大小等进行检查,从而限制恶意文件的上传,但攻击者反而会利用漏洞绕过这些限制,直接上传恶意的文件。它既是Web安全中的一种常见的、基本的漏洞形式,又是日常渗透测试用得最多的一个漏洞,且这种攻击方式是最为直接和有效的。因此对于安全和渗透工程师来说,是基本的必修课。但你必须知道要想真正利用好该漏洞并不是那么容易的,其中蕴含的很多技巧,也需要投入一定的精力去研究。知己知彼百战不殆,10月12号晚20:00,跟着【马哥教育】张翊老师,学习文件上传的全套知识体系,从产生原因、漏洞原理到绕过方式和使用PHP木马,60分钟让你入门网络安全!长按或扫描海报二维码免费观看直播
