WEB安全的总结与心得(十二) 01 文件操作漏洞之简介 文件操作操作内容文件上传上传Webshell;上传木马文件下载下载系统任意文件;下载程序代码 常见文件操作漏洞文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 文件操作漏洞的原理 文件上传漏洞 原因:可以上传可执行脚本;脚本拥有执行权限 任意文件下载 原因:未验证下载文件格式;未限制请求路径 文件包含漏洞 原因:包含文件被设为为变量,变量值可控,服务器未校验或校验绕过