《网络安全学习》 第六部分-----文件上传漏洞

由于服务器端未对文件类型、文件扩展名进行验证，造成攻击者上传恶意脚本到服务器端，从而执行攻击者的代码，这个过程就是文件上传漏洞。

文件上传原理

常见的验证文件的方式

客户端

• javascript校验（一般只校验后缀名）

服务端校验

• 验证文件类型（文件头content-type字段校验（image/gif））
• 验证文件扩展名
• 验证文件内容

服务器防御

应该限制目录脚本的执行权限，其次验证扩展名、验证文件内容合法性、验证文件类型。

【网络安全学习】系列教程

《网络安全学习》第一部分-----初识OWASP
《网络安全学习》第二部分-----SQL注入学习
《网络安全学习》第三部分-----XSS攻击系列学习
《网络安全学习》第四部分-----SSRF服务器端请求伪造
《网络安全学习》第五部分-----远程代码执行漏洞
《网络安全学习》 第六部分-----文件上传漏洞
《网络安全学习》 第七部分-----跨域资源共享（CORS）漏洞
《网络安全学习》 第八部分-----《网络安全学习》 第八部分-----越权漏洞详解
《网络安全学习》 第九部分----CSRF（跨站请求伪造）漏洞详解