版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/tomatocc/article/details/86618845
由于服务器端未对文件类型、文件扩展名进行验证,造成攻击者上传恶意脚本到服务器端,从而执行攻击者的代码,这个过程就是文件上传漏洞。
文件上传原理
常见的验证文件的方式
客户端
- javascript校验(一般只校验后缀名)
服务端校验
- 验证文件类型(文件头content-type字段校验(image/gif))
- 验证文件扩展名
- 验证文件内容
服务器防御
应该限制目录脚本的执行权限,其次验证扩展名、验证文件内容合法性、验证文件类型。