文件上传漏洞指的是用户上传了一个可实行的脚本文件,并通过此脚本文件获得了实行服务器端命令的能力。这种攻击方法是最为直接和有效的,文件上传本身没问题,有问题的是文件上传后,服务器如何处置、讲解文件。假如服务器的处置逻辑做的不够安全,则会致使紧急的后果。在大家平常常见的不少网站中,比如电子邮件网站、平台等不少网站中,都允许用户上传文件、图片、视频等内容到网站服务器中。假如网站的开发职员没做好身份的认证和数据的过滤排查,大概被黑客借助。黑客可以借助如Telnet服务等功能对网站内容和数据进行修改和破坏。这里上传的恶意文件可以是木马程序、病毒,Webshell或者恶意脚本等。这种攻击方法直接、容易又有效。
