Low 未做过滤,直接上传成功,并给出路径,蚁剑连接 medium 验证了文件的mime类型和大小。() 直接抓包修改 成功 high 限制了图片格式(包括后缀以及内容格式) 可以选择上传一句话图片马,利用文件包含漏洞 impossible 对上传的文件进行了重命名(md5值,导致00截断无法绕过),并且假如Anti-CSRF token防护CSRF攻击,并对文件内容作了严格地检查,导致攻击者无法上传含有恶意脚本的文件