“上传漏洞”以及“登录页暴力破解”的防御

上传漏洞、登陆页暴力破解的危害性比较大，因为一旦成功，便等于获得了写文件或更改网站配置的权限，从而方便进一步提权，

下面是针对这两种威胁的防范手段：

上传漏洞
==============================================================================================================
*	“文件上传漏洞”，包括但不限于
	-	http请求头MIME欺骗、
	-	文件名或目录名%00截断上传、
	-	双文件上传、
	-	浏览器路径解析漏洞、
	-	图片一句话木马+文件包含、
	-	未授权直接自构表单上传

*	文件上传防御方案：
	-	1.客户端检测，使用JS对上传图片检测，包括文件大小、文件类型等
	-	2.服务端检测，对文件大小、文件路径、文件扩展名、文件类型、文件内容检测，对文件重命名
	-	3.其他限制，服务器端上传目录设置不可执行权限








防止登录页暴力破解
===============================================================================================================
*	验证码或令牌验证（在检查用户名、密码之前优先检查验证码，服务端限制验证码不为空、每验证一次就清空session的验证码信息）。
*	登录失败次数限制。一定时间内登录失败多少次就封号，就算接下来猜对了密码也提示用户名或密码失败。
*	ip或代理黑名单。
*	提示信息，无论用户名正确与否，总是提示用户名或密码错误。