文件上传

漏洞描述

　　文件上传漏洞通常由于代码中对文件上传功能所上传的文件过滤不严或web服务器相关解析漏洞未修复而造成的，如果文件上传功能代码没有严格限制和验证用户上传的文件后缀、类型等，攻击者可通过文件上传点上传任意文件，包括网站后门文件（webshell）控制整个网站。

　1、对上传文件类型进行验证，除在前端验证外在后端依然要做验证，后端可以进行扩展名检测，重命名文件，MIME类型检测以及限制上传文件的大小等限制来防御，或是将上传的文件其他文件存储服务器中。

　　2、严格限制和校验上传的文件，禁止上传恶意代码的文件。同时限制相关上传文件目录的执行权限，防止木马执行。

　　3、对上传文件格式进行严格校验，防止上传恶意脚本文件；

　　4、严格限制上传的文件路径。

　　5、文件扩展名服务端白名单校验。

　　6、文件内容服务端校验。

　　7、上传文件重命名。

　　8、隐藏上传文件路径。