; List of file extensions which are allowed to be uploaded ; If empty,any file can be uploaded. ; Note that the Apache NEEDS to be configured to allow ; the appropriate HTTP methods (POST and PUT) when using this ; directive. ; http://httpd.apache.org/docs/2.2/mod/core.html#limitexcept ; Example usage: ; file_uploads = On ; upload_max_filesize = 20M ; upload_tmp_dir = /tmp ; allow_url_fopen = On ; allow_url_include = Off ; display_errors = Off ; error_reporting = E_ALL | E_STRICT ; post_max_size = 20M ; max_input_time = 60 ; max_execution_time = 30 ; [upload] ; ;only allow zip files ; ;.zip ; ; deny all ; ;allow all可以看出,DVWA的“PHP.ini”文件默认禁止PHP文件类型上传。然而,如果攻击者上传一个以“.phtml”或“.PHPs”结尾的文件,服务器可能会忽略文件扩展名并执行其中的PHP代码。 因此,我们必须接受上传文件的MIME类型而不是扩展名,并根据这些MIME类型验证和筛选上传的文件。许多文件上传漏洞的解决方案都是基于MIME类型过滤的。 总之,在Web应用程序中,文件上传可能会导致文件上传漏洞。在DVWA中,我们可以使用上传漏洞测试这种漏洞。然而,我们必须对上传的文件进行筛选和验证,以确保我们不会上传恶意文件或执行其中的恶意代码。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。