前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,IOS端都采用的JSP+oracle数据库架构开发,前端使用VUE,服务器是linux centos系统.下面我们将渗透测试过程里,对文件上传漏洞的检测与webshell的分析进行记录,希望更多的人了解什么是渗透测试.

我们直击漏洞根源,查看代码在uplpod.php文件里,可以看到有个lang变量给了language.php,并附加条件,设置的指定文件都存在,才可以将参数值传递过去,代码截图如下:

仔细看,我们看到代码调用了save_file的调用方式,由此可以导致langup值可以伪造,追踪溯源看到该值是对应的WEB前端用户的文件上传功能,在用户文件上传这里,并没有做安全效验与安全白名单拦截机制,导致可以重命名,直接将.jsp的脚本文件上传到网站的根目录下,包括APP也存在该漏洞.

我们SINE安全技术来渗透测试复现一下该文件上传漏洞是如何利用的,首先登录会员,并打开个人资料页面,有个文件上传功能,里面只允许上传图片格式的文件,只允许上传JPG,PNG,GIF,等后缀名的文件,以普通的图片文件来上传,我们抓取POST的上传数据包,将cont1的路径地址改为/beifen/1.jsp,并提交过去,返回数据为成功上传.复制路径,浏览器里打开,发现我们上传的JSP脚本文件执行了,也再一次的证明该漏洞是足以导致网站数据被篡改的,在这之前客户的网站肯定被上传了webshell网站木马文件,随即我们对客户的网站源代码进行全面的人工安全检测与分析,对一句话木马特制eval,加密,包括文件上传的时间点,进行检查,发现在网站的JS目录下存在indax.jsp,浏览器里打开访问,是一个JSP的脚本木马,可以对网站进行篡改,下载代码,新建文件,等网站管理员的操作,同理APP端也是存在同样的漏洞.调用的文件上传功能接口是一样.具体的webshell截图如下:

到这里我们只是渗透测试的一方面,主要是检测的文件上传功能是否存在漏洞,是否可以重命名,自定义上传路径以及文件格式绕过,关于渗透测试中发现的文件上传漏洞如何修复,我们SINE安全给大家一些修复建议与办法,首先对文件的上传格式进行限制,只允许白名单里的jpg,png,gif等格式的文件上传,对自定义的路径地址进行变量覆盖,不允许更改路径地址.对上传的目录做脚本的安全限制,去除JSP的脚本执行权限.

网站漏洞测试 关于webshell木马后门检测相关推荐

  1. java webshell_网站漏洞测试 关于webshell木马后门检测

    前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项 ...

  2. 阿里云提醒 网站被WebShell木马后门的处理过程

    昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云 ...

  3. 网站漏洞测试分析查找问题攻防演练

    漏洞分析和渗透测试是网站安全攻击和防御演习攻击者的常用方法.通过收集目标系统的信息和综合分析,使用适当的攻击工具对目标系统的安全漏洞进行相关分析,验证漏洞的使用方法和难度,并通过各种攻击方法找到潜在漏 ...

  4. 网站漏洞测试怎么做?软件渗透测试解决方案

    随着互联网软件的蓬勃发展,对于软件安全性能的要求也越来越高,试想一下,用户在使用网站时因为网站存在的漏洞而不小心泄露用户隐私数据,或者被漏洞进一步操作账户,都会造成不可挽回的损失,所以很多开发方在软件 ...

  5. 阿里云盾提醒网站被WebShell木马后门分析与对策

    收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了,数据库 ...

  6. 网站被黑中毒WebShell木马的解决方案

    收到客户的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了,数据库的服务也干 ...

  7. 网络安全分析 | 用OpenFEA定位WebShell木马后门

    2019独角兽企业重金招聘Python工程师标准>>> webshell是什么?它是以asp.PHP.jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后 ...

  8. 渗透测试服务 甲方公司OA网站系统漏洞测试

    渗透测试服务,是甲方授权乙方安全公司对自身的网站,以及APP,办公系统进行的全面人工安全渗透,对漏洞的检测与测试,包括SQL注入漏洞,XSS存储漏洞,反射漏洞,逻辑漏洞,越权漏洞,我们SINE安全公司 ...

  9. 网站服务器rookit级木马后门查杀分析

    在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来.那这个是 ...

  10. 网站漏洞修复公司处理网站被篡改跳转到其他网站的解决办法

    2019独角兽企业重金招聘Python工程师标准>>> 某一客户单位的网站首页被篡改,并收到网监的通知说是网站有漏洞,接到上级部门的信息安全整改通报,贵单位网站被植入木马文件,导致网 ...

最新文章

  1. 读写位宽不同的FIFO,数据输入输出顺序是怎么样的?BRAM又如何呢?
  2. 分辨率快速切换工具,以及源码.
  3. 计算机视觉与深度学习 | 动态背景下的前景目标提取
  4. linux 开放1701端口,长连接及Linux 查看长连接端口
  5. 虚拟打印的实现-EMF转换成BMP
  6. 前端学习(3093):vue+element今日头条管理-反馈
  7. VMware workstation 15.5.2及镜像文件下载
  8. vs.net各版本解决方案相互转换工具
  9. 2022年百度新能源汽车行业洞察
  10. [设计模式-行为型]责任链模式(Chain of Responsibility)
  11. 55.伪造UDP数据包
  12. CMSIS-RTOS手册
  13. c#Word模板转PDF,c#word模板生成新的word
  14. 用于实时视频和图像去雾的优化对比度增强算法
  15. 2016 0CTF rsa
  16. h5调用手机相册摄像头以及文件夹
  17. dialog沉浸式状态栏android,Dialog全屏,去掉状态栏的方式
  18. 增加对ARM64和X86的硬件预取控制驱动的支持
  19. codeforces1492 D. Genius‘s Gambit python
  20. 2022最新HTML生成国庆头像网页源码+打开即用

热门文章

  1. 如果把编程语言比作武器
  2. 中小型局域网上网管理组网方案
  3. p=p->next 是什么意思
  4. MySQL(零基础)详解之DQL
  5. HDLBits练习——Fsm3comb
  6. springboot+美容院会员管理系统 毕业设计-附源码191740
  7. 传奇服务器怪物不显示名字,传奇小地图显示怪物的一个问题
  8. Prometheus最佳实践 Summary和Histogram
  9. RabbitMQ系列(九)RabbitMQ进阶-Queue队列参数详解
  10. html5页面风格,H5页面的设计风格有哪些?