文件上传漏洞

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。

文件上传后导致的常见安全问题一般有：

• 上传文件是web脚本语言，服务器的web容器解释并执行了用户上传的脚本，导致代码执行。
• 上传文件是病毒、木马文件，黑客用以诱骗用户或者管理员下载执行。
• 上传文件是钓鱼图片或包含了脚本的图片，在某些版本的浏览器中会被作为脚本执行，被用于钓鱼和欺诈

设计安全的文件上传功能

• 文件上传的目录设置为不可执行
• 文件类型判断。文件类型采用白名单机制，图片可以进行压缩破会可能包含的脚本
• 使用随机数改写文件名和文件路径
• 单独设置文件服务器的域名