DVWA文件上传漏洞php失败

在Web应用程序中，文件上传是一个基本的功能。它允许用户将文件从本地计算机上传到Web服务器上。然而，这种方便很容易导致文件上传漏洞。DVWA是一个具有漏洞的Web应用程序，文件上传漏洞是其中之一。在本文中，我们将探讨DVWA文件上传漏洞之一PHP失败的情况。 当我们上传文件到Web应用程序时，它将通过HTTP POST方法将文件上传到服务器。然而，如果服务器没有正确配置，攻击者就可以上传恶意文件。例如，攻击者可以上传包含恶意代码的PHP文件，以便在服务器上执行该代码。 在DVWA中，有一个名为“Upload”的文件上传漏洞，我们可以在DVWA中使用此漏洞进行测试。当我们尝试上传一个包含PHP代码的文件时，DVWA会拒绝上传并显示错误“文件类型不允许”。这是由于DVWA使用在其“PHP.ini”文件中默认禁止上传的PHP文件的文件类型列表。在DVWA中，我们可以在“PHP.ini”文件中找到此列表。 以下是“PHP.ini”文件中默认的PHP文件类型列表：

; List of file extensions which are allowed to be uploaded
; If empty,any file can be uploaded.
; Note that the Apache NEEDS to be configured to allow
; the appropriate HTTP methods (POST and PUT) when using this
; directive.
; http://httpd.apache.org/docs/2.2/mod/core.html#limitexcept
; Example usage:
;   file_uploads = On
;   upload_max_filesize = 20M
;   upload_tmp_dir = /tmp
;   allow_url_fopen = On
;   allow_url_include = Off
;   display_errors = Off
;   error_reporting = E_ALL | E_STRICT
;   post_max_size = 20M
;   max_input_time = 60
;   max_execution_time = 30
;   [upload]
;   ;only allow zip files
;   ;.zip
;   ; deny all
;   ;allow all

可以看出，DVWA的“PHP.ini”文件默认禁止PHP文件类型上传。然而，如果攻击者上传一个以“.phtml”或“.PHPs”结尾的文件，服务器可能会忽略文件扩展名并执行其中的PHP代码。 因此，我们必须接受上传文件的MIME类型而不是扩展名，并根据这些MIME类型验证和筛选上传的文件。许多文件上传漏洞的解决方案都是基于MIME类型过滤的。 总之，在Web应用程序中，文件上传可能会导致文件上传漏洞。在DVWA中，我们可以使用上传漏洞测试这种漏洞。然而，我们必须对上传的文件进行筛选和验证，以确保我们不会上传恶意文件或执行其中的恶意代码。

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。