文章來源：計算機與網(wǎng)絡安全

一般將文件上傳歸類為直接文件上傳與間接文件上傳。直接文件上傳就是服務器根本沒有做任何安全過濾，導致攻擊者可以直接上傳小馬文件及大馬文件(如ASP、ASPX、PHP、JSP及war文件等類型的小馬文件及大馬文件)，從而得到目標站點的shell。間接文件上傳就是服務器對用戶上傳的文件使用了安全策略：第一種安全策略是在程序代碼中設置黑名單或者白名單；第二種安全策略是在Web應用層加一個WAF。對于第一種安全策略，當程序代碼中設置的是黑名單的時候，攻擊者可能會想辦法繞過黑名單的限制，實現(xiàn)文件上傳，進而得到shell。繞過白名單的限制亦同理，只是白名單策略的限制一般而言更難繞過。對于第二種安全策略，大家都知道WAF吧？WAF其實也是基于mod_security模塊進行開發(fā)的，一個WAF功能及性能的好壞直接決定了網(wǎng)站的安全系數(shù)。所以，如果研究透WAF里的攔截規(guī)則，或許就有辦法繞開WAF的攔截，從而實現(xiàn)SQL注入及文件上傳等。一般情況下，攻擊者會通過查找文件上傳功能程序中的文件上傳安全檢測代碼的漏洞，然后利用該漏洞繞過文件上傳安全檢測代碼的限制，實現(xiàn)上傳文件。接下來，我們來全面、細致地學習文件上傳漏洞相關(guān)的知識，其具體類

總結(jié)

以上是生活随笔為你收集整理的上传图片被防火墙拦截_Web安全：文件上传漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。