一、文件上传漏洞的原理
由于程序代码未对用户提交的文件进行严格的分析和检查,导致攻击者可以上传可执行的代码文件,从而获取web应用的控制权限。
常见于上传功能,富文本编辑器。
二、文件上传漏洞的防御
1、上传目录设置为不可执行; 2、严格判断文件类型,使用白名单而不是黑名单; 3、使用随机数改写上传后的文件名和文件路径; 4、单独设置文件服务器及域名;