文件上传漏洞.md

文件上传漏洞

• 用户上传的文件被web容器解释执行
• 上传的是跨域配置文件，导致同源策略失效
• 上传的文件是木马病毒被管理员下载执行
• 上传的图片含有木马与脚本，被某些浏览器执行

文件上传检查绕过

• 通过\0字符截断

apache文件解析

• apache对不认识的文件类型的处理

IIS文件解析

nginx对php cgi的执行问题

安全的文件上传

• 上传目录设置为不可执行
• 白名单文件类型检查
  • 后缀名+文件头
• 文件存放加上随机数
• 单独的文件服务器