WEB安全的总结学习与心得（十二）——文件操作漏洞

WEB安全的总结与心得（十二）

01 文件操作漏洞之简介

文件操作操作内容文件上传上传Webshell；上传木马文件下载下载系统任意文件；下载程序代码 常见文件操作漏洞文件上传漏洞；任意文件下载漏洞；文件包含漏洞

02 文件操作漏洞的原理

文件上传漏洞

原因：可以上传可执行脚本；脚本拥有执行权限

任意文件下载

原因：未验证下载文件格式；未限制请求路径

文件包含漏洞

原因：包含文件被设为为变量，变量值可控，服务器未校验或校验绕过