命令注入漏洞——下载文件
对传入的文件名进行严格的过滤和限定
对文件下载的目录进行严格的限定
上传漏洞
注意:可以通过上传“一句话木马”来控制整个web后台
MIME
对文件类型识别时 会给出文件的类型
通过$_FILE来验证文件是否符合类型 然后和$mime来进行比较
之所以有漏洞是因为$_FILE是写在页面的 能够被用户更改
对传入的文件名进行严格的过滤和限定
对文件下载的目录进行严格的限定
注意:可以通过上传“一句话木马”来控制整个web后台
对文件类型识别时 会给出文件的类型
通过$_FILE来验证文件是否符合类型 然后和$mime来进行比较
之所以有漏洞是因为$_FILE是写在页面的 能够被用户更改