原创 罗锦海 OneMoreThink
OneMoreThink
微信号 OneMoreThinkkk
功能介绍 网络安全运营顾问。昨日所思绝非今日立场。
__发表于
收录于合集 #安全技术 6个
- 360磐云WAF
- 金蝶apusic中间件
- 重复的Content-Disposition请求头
- 异常的form-data参数名
- 360磐云WAF:检查所有Content-Disposition请求头,只要有一个请求头存在异常的form-data参数名,就退出检查,将流量放行给后端。
- 金蝶apusic中间件:只使用第一个Content-Disposition请求头,只有当第一个请求头是正确的form-data参数名时,才能正常处理业务,完成文件上传。
1、正常=WAF拦截
Content-Disposition: form-data; name="file"; filename="jsp.jsp"
Content-Type: image/jpeg
2、异常=上传失败500
Content-Disposition: aform-data; name="file"; filename="jsp.jsp"
Content-Type: image/jpeg
3、正常,正常=WAF拦截
Content-Disposition: form-data; name="file"; filename="jsp.jsp"
Content-Type: image/jpeg
Content-Disposition: form-data; name="file"; filename="jsp.jsp"
Content-Type: image/jpeg
4、正常,异常=上传成功200
Content-Disposition: form-data; name="file"; filename="jsp.jsp"
Content-Type: image/jpeg
Content-Disposition: aform-data; name="file"; filename="jsp.jsp"
Content-Type: image/jpeg
5、异常,正常=上传失败500
6、异常,异常=上传失败500
- 对甲方:应持续使用开源或商业的BAS产品,验证安全防护的有效性。
- 对乙方:WAF的检查逻辑,应与中间件的处理逻辑一致,以确保WAF能防护中间件。
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看