wqkant

摘要： 文件上传漏洞 特征： 保存文件的目录规划有问题：直接保存到webapp 存在跨目录上传：用上传文件名拼接保存路径 没有校验后缀，可上传脚本 没有限制上传文件大小和个数，磁盘dos 异常情况没有清理失效的上传文件 上传压缩表，存在zip炸弹，跨目录解压风险 上传特殊格式文件，如xml，json，yam 阅读全文