上传下载漏洞

文件上传漏洞

特征：

1. 保存文件的目录规划有问题：直接保存到webapp
2. 存在跨目录上传：用上传文件名拼接保存路径
3. 没有校验后缀，可上传脚本
4. 没有限制上传文件大小和个数，磁盘dos
5. 异常情况没有清理失效的上传文件
6. 上传压缩表，存在zip炸弹，跨目录解压风险
7. 上传特殊格式文件，如xml，json，yaml，freemarker,excel,bpmn等都要注意漏洞防护

文件下载漏洞

跨目录下载