文件上傳漏洞的危害

上傳文件的時候，如果服務器端腳本語言，未對上傳的文件進行嚴格的驗證和過濾，就有可能上傳惡意的腳本文件，從而控制整個網站，甚至是服務器。文件上傳漏洞的危害：

• 代碼執行

  上傳文件是web腳本語言，服務器的web容器解釋并執行了用戶上傳的腳本，導致代碼執行，甚至導致網站甚至整個服務器被控制。

• 域控制

  上傳文件是flash的策略文件crossdomiain.xml，黑客用以控制flash在該域下的行為。

• 網站掛馬

  上傳文件是病毒、木馬，黑客用以誘騙用戶或者管理員下載執行。

• 釣魚

  上傳文件是釣魚圖片或為包含了腳本的圖片，在某些版本的瀏覽器中會被作為腳本執行，被用于釣魚和欺詐。

回答所涉及的環境：聯想天逸510S、Windows 10。