目录
(一)文件上传漏洞原理
在编写程序时候对用户上传的文件没有做好防护和过滤或处理异常,致使用户越权向服务器上传可执行的动态脚本文件,上传的文件可以是木马,病毒,恶意脚本或者WebShell等恶意语句,最终达成自己所需的目的。文件上传功能本身没有问题,问题在于上传后如何处理及解释文件。
触发点:
- 相册、头像上传
- 视频、照片上传或分享
- 附件上传(论坛发帖、邮箱)
- 文件管理器
- CMS框架类:已知源码
- 编辑器类:cheditor、fckeditor、kindetior等
- 其他类/CVE:代码审计、第三方平台或应用