网络安全之文件上传

常见文件上传点

大部分的网站和应用系统都有上传功能，如用户头像上传，图片上传，文档上传等。

任意文件上传漏洞

定义

由于对上传文件未作过滤或过滤机制不严 (文件后缀或类型)导致恶意用户可以上传脚本文件，通过上传文件可达到控制网站权限的目的

危害

攻击者可获得网站控制权限
查看、修改、删除网站数据
通过提权漏洞可获得主机权限

webshell

定义

Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

方式

利用文件上传漏洞，通过向服务端提交一句简短代码，配合本地客户端实现webshell功能。

所需条件

满足这三个条件，攻击者就能够成功入侵：
木马上传成功，未被杀；
知道木马的路径在哪；
上传的木马能正常运行 (解析)。