参考文章https://blog.csdn.net/m0_38103658/article/details/100162185
https://www.freebuf.com/company-information/221721.html
https://blog.csdn.net/admin18310911366/article/details/107998925
一、漏洞简介
1,主要针对弱点:数据与代码分离
2,漏洞等级:高危
3,漏洞原理:利用网站的上传功能,攻击者上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(jsp、asp、php、aspx文件后缀)到服务器上,在访问脚本过程中访问到恶意代码,进而获得网站控制权。
(图片摘自上述链接)
4,漏洞原因:程序员在开发任意文件上传功能时,并未考虑文件格式后缀的合法性校验或者只在前端通过js进行后缀检验
5,漏洞查找过程:
5.1黑白名单