最近学了文件上传下载,但是注意到了一个问题,用户上传普通的比如图片小说,这是没有问题的,但是,如果用户上传了一个可以在服务器执行的文件比如jsp,这问题可就大了。
先演示一段jap注入攻击,假定上传的文件我们放在tomcat的根目录下:
这是上传页面代码
<form action="${pageContext.request.contextPath}/UploadServlet" method="post" enctype="multipart/form-data">
名称:<input type="text" name="username"><br>
艳照:<input type="file" name="image"><br>
<input type="submit" value="上传">
</form>