您了解随意上传文件的风险吗？

目前，大部分**和应用系统都有上传功能，包括上传文档、**头像、**等内容。 文件上传功能本身没有问题，但当系统没有验证上传文件的内容、后缀、文件类型，或者处理逻辑不够安全时，恶意用户可以绕过文件类型要求，将“任意”文件上传到系统甚至可执行文件后门， 最终将导致严重后果。

“任何”文件上传的危险

“任意”上传文件的危害与恶意用户上传的文件类型密切相关，可分为以下几类：

上传恶意脚本语言，系统服务器的Web容器会解释并执行相应的恶意脚本。

跨域上传闪存策略文件xml，用于控制该域中 Flash 的行为;

上传病毒和特洛伊木马文件以诱骗用户或管理员执行;

上传网络钓鱼或包含用于网络钓鱼和欺骗的脚本;

上传 webshell 以远程控制系统或导致系统被禁用。

任何文件上传的保护策略

文件上传的目录设置为不可执行;

白名单法用于通过MIME类型、后缀、文件头等检查文件类型。

用随机数重写文件名和文件路径;

单独设置文件服务器的域名;

部署安全防护设备，实时检测恶意文件上传。

起源：安全性和保密性。