文件上传漏洞是指攻击者上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
常见场景是 Web 服务器允许用户上传图片或者普通文本文件,而攻击者绕过上传机制上传恶意代码并执行从而控制服务器。
如果打开文件校验开关,在上传文件的时候会校验文件格式是否被篡改。
文件上传校验的规则如下:
校验内容 | 具体说明 |
校验格式 | jpg ,zip , xlsx ,rar ,ttc ,bmp ,gif ,ttf ,png ,docx ,pptx ,tif ,pdf ,gz ,ppt ,dwg ,jpeg ,doc ,jar ,xls ,mp4 ,mp3 ,mov ,avi ,wav ,ofd |
校验策略 |
|
默认规则 | 默认校验开关为开、校验策略为宽容策略。 |
注:校验开关和策略的配置不在 cs 中,而是在服务的配置文件中。
