上传下载漏洞

文件上传漏洞

特征:

  1. 保存文件的目录规划有问题:直接保存到webapp
  2. 存在跨目录上传:用上传文件名拼接保存路径
  3. 没有校验后缀,可上传脚本
  4. 没有限制上传文件大小和个数,磁盘dos
  5. 异常情况没有清理失效的上传文件
  6. 上传压缩表,存在zip炸弹,跨目录解压风险
  7. 上传特殊格式文件,如xml,json,yaml,freemarker,excel,bpmn等都要注意漏洞防护

文件下载漏洞

跨目录下载

posted @ 2022-03-17 17:38  wqkant  阅读(46)  评论(0编辑  收藏  举报