文件上传漏洞 File Upload
⽂件上传是Web 应⽤必备功能之⼀。
如果服务器配置不当或者没有进⾏⾜够的过滤,Web ⽤户就可以上传任意⽂件,包括恶意脚本⽂件,
exe 程序等等,这就造成了⽂件上传漏洞。
漏洞的成因
- 服务器配置不当
- Web应用开放了文件上传功能,没有对上传的文件做足够的限制和过滤。
- 在程序开发部署时,没有考虑到系统的特性或组件的漏洞,而导致限制被绕过。
漏洞危害
- 上传漏洞最直接的威胁就是上传任意文件,包括恶意脚本,程序等。
- 直接上传后门文件,导致网站沦陷。
- 通过恶意文件,利用其他楼栋拿到管理员权限(提权),导致服务器沦陷。<