在应用系统的运营过程中,不可避免地要对网站的某些页面或者内容进行更新,这时便需要使用到网站的文件上传的功能。如果不对被上传的文件进行限制或者限制被绕过,该功能便有可能会被利用于上传可执行文件、脚本到服务器上,进而进一步导致服务器沦陷。 那么任意文件上传漏洞的检测方法: 找到系统中可以上传文件的地方。 上传系统要求的合法文件,确定上传点可用。 上传Web Shell。 访问上传Web Shell文件的链接地址。 防护方案: 对文件格式限制,只允许某些格式上传。 对文件格式进行校验,前端和服务器都要进行校验(前端校验扩展名,服务器校验扩展名、Content Type等)。 将上传目录防止到项目工程目录之外,当作静态资源文件路径,并且对文件的权限进行设定,禁止文件下的执行权限。