在简述文件上传漏洞的危害性基础上,从攻击者可能利用的文件上传漏洞技术手段进行分析,基于PHP环境指出了攻击者通过绕过客户端验证、绕过扩展名验证、绕过黑名单与白名单验证、绕过内容检测验证、绕过截断上传攻击、绕过WEB服务解析等方法进行攻击的过程。通过分析研究,最后提出了在WEB开发时、服务器端、WEB运维时一套立体式的防御策略。

• 单位
  许昌职业技术学院