“上传漏洞”以及“登录页暴力破解”的防御

上传漏洞、登陆页暴力破解的危害性比较大，因为一旦成功，便等于获得了写文件或更改网站配置的权限，从而方便进一步提权，

下面是针对这两种威胁的防范手段：

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

上传漏洞 ============================================================================================================== *   “文件上传漏洞”，包括但不限于     -   http请求头MIME欺骗、     -   文件名或目录名%00截断上传、     -   双文件上传、     -   浏览器路径解析漏洞、     -   图片一句话木马+文件包含、     -   未授权直接自构表单上传   *   文件上传防御方案：     -   1.客户端检测，使用JS对上传图片检测，包括文件大小、文件类型等     -   2.服务端检测，对文件大小、文件路径、文件扩展名、文件类型、文件内容检测，对文件重命名     -   3.其他限制，服务器端上传目录设置不可执行权限                 防止登录页暴力破解 =============================================================================================================== *   验证码或令牌验证（在检查用户名、密码之前优先检查验证码，服务端限制验证码不为空、每验证一次就清空session的验证码信息）。 *   登录失败次数限制。一定时间内登录失败多少次就封号，就算接下来猜对了密码也提示用户名或密码失败。 *   ip或代理黑名单。 *   提示信息，无论用户名正确与否，总是提示用户名或密码错误。