文件上传漏洞与文件下载浏览漏洞

一、文件上传漏洞是什么？

        文件上传漏洞就是网站允许用户上传文件，攻击者上传了一个可执行的脚本文件，并通过该文件控制了服务器。

        上传的文件能够被攻击有以下几个条件:

        1.上传的文件能够被Web容器解释执行，所以上传的文件只能在Web服务器访问的目录范围内

        2. 用户能够从Web中访问这个文件

        3.上传的文件没有被安全检查、格式化、图片压缩等改变了内容

二、如何防御

        1.检查上传文件的扩展名白名单，不属于白名单的不允许上传

        2. 上传的文件是Web服务器不能直接访问到的

        3.上传的文件路径文件名由系统生成，不允许用户自定义

        4.上传文件做日志处理

三、什么是文件下载浏览漏洞

       应用允许用户提交一个地址响应文件， 用户可以任意访问服务器内的文件，造成任意文件下载威胁。

四、文件下载漏洞如何防护

        1.文件保存的路径保存在数据库中，让用户使用id下载文件

        2.下载文件之前做权限判断

        3.文件放在web服务器无法在慧姐访问的目录下

        4.记录文件下载日志

        5.不允许提供目录遍历服务