目录
文件上传漏洞
文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。
文件上传漏洞条件:
- 上传的文件能被Web服务器当做脚本来执行
- 我们能够访问到上传文件的路径
服务器上传文件命名规则:
- 第一种:上传文件名和服务器命名一致
- 第二种:上传文件名和服务器命名不一致(随机,时间日期命名等),但是后缀一致
- 第三种:上传文件名和服务器命名不一致(随机,时间日期命名等),后缀也不一致
漏洞成因:由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件。打个比方来说,如果你使用 php 作为服务器端的脚本语言,那么在你网站的上传功能处,就一定不能让用户上传 php 类型的文件,否则他上传一个木马文件,你服务器就被他控制了。因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。</