文件上传漏洞

一、漏洞成因

• 没有对上传的文件进行判断，导致用户可以直接上传恶意php等文件，从而达到上传木马。
  • 优化：可以进行前端对文件后缀校验，禁止用户上传不合法文件。
• 直接禁用JS可以绕过JS对文件后缀的校验，但是不建议禁用JS，因为这会直接禁用掉所有JS，有可能导致其他功能失效。
  • 优化：使用ajax实现上传功能，防止用户通过禁用JS上传恶意文件
• 通过直接发送数据包的方式绕过前端上传恶意文件；
  • 优化：在后端再次校验文件后缀名