discord icon
سرور دیسکورد گاردایران
Reza.Black

Case-sensitive blacklist extension check bypass

پست های پیشنهاد شده

به نام خدا

با سلام

یکی از روش های تست نفوذ در وب آپلود فایل مخرب به درون سرور هست.

و این کار خیلی مورد توجه جوجه هکرها هم هست.

ولی این کار به این سادگی ها هم نیست و بیشتر اوقات با لایه های امنیتی مواجه میشیم.

بهتر هست که قبل از هر اقدامی ابتدا سورس کدها مورد بررسی قرار بگیره حداقل سورس های استاتیک.

البته که برای این کار روش های گوناگونی وجود داره که اینجا جای بحث اون نیست.

برای مثال من اشاره می کنم به بزرگی و کوچکی پسوند فایل

پسوند فایل نشون دهنده ی نوع فایل هست البته لینوکس رو جدا کنیم که همیشه اشاره به محتوای فایل داره.

توضیح کافیه یه تست ساده انجام میدیم تا مطالب روشنتر بشه.

اول از همه یه فایل تستی برای این کار تهیه کردم 

 

Capture.PNG.2b688de7f6dcb996a59eb96ee5cbc2e6.PNG

 

دوستانی که با php آشنا هستن می تونن اون رو به راحتی درک کنن به خصوص خط blacklist که یک آرایه ایی از پسوندها رو درون متغیر ذخیره میکنه.

روش ارسال هم که مشخصه من وب سرور آپاچی رو اجرا می کنم و فایل تستی رو در محل اون قرار میدم و مرور گر رو باز می کنم و تست رو انجام میدم. ok

 

Capture2.PNG.f368781c05c9bc3ed940b13e0deed326.PNG

 

Capture3.PNG.6a226153ba19960c854d80e51f92ebcf.PNG

 

Capture4.PNG.e015cf32f82803497b69f2af4d3f6244.PNG

 

Capture5.PNG.df2be0fa2a666fbb66fbad1a0886598e.PNG

 

خوب همونطور که دیدید مانع از ارسال من شد.

حالا پسوند فایل رو به حروف بزرگ تغییر میدم و تست می کنم.

 

Capture6.PNG.5ac206c55c260ca9b125bbaec5a6fe3f.PNG

 

Capture7.PNG.3e744547dc568793d288689fd48cb964.PNG

 

Capture8.PNG.def46cf38329f85f6689b391275db523.PNG

 

مثل اینکه جواب داد.

این آموزش ساده در واقع برای این بود که تسلط به زبان های برنامه نویسی مختلف و بررسی داده ها تا چه مقدار می تونه کمک کننده باشه.

موفق باشید.

 

 

test.rar

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری