7-文件上传漏洞

1.上传漏洞介绍

上传文件是一种常见的功能，因为它有助于提高业务效率，比如企业的OA系统，允许用户长传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多，web应用受到的攻击的风险就越大。

2.上传漏洞原理

上传文件时，如果服务端代码未对客户端上传的文件进行严格的验证和过滤，就容易造成可以上传任意文件的情况，包括上传脚本文件（asp，aspx，php，jsp等格式的文件）。

危害：
非法用户可以利用上传的恶意脚本文件控制整个网站，甚至控制服务器，这个恶意的脚本文件，又被称为Webshell，也可以称为webshell脚本称为一种网页后门，webshell脚本具有非常强大的功能，比如查看服务器目录、服务
器中的文件，执行系统命令等。

3. 上传漏洞绕过

 

4.上传漏洞修复

1.通过白名单的方式判断文件后缀是否合法
2.对上传后的文件尽兴重命名