- 使用前端js代码对文件后缀进行校验,使用content-type来判断文件类型都是不可靠的,用户可以随意修改
- 黑名单校验后缀是不准确的,无法覆盖所有危险后缀
- 在有些Apache+PHP的环境中,为了兼容旧版本PHP允许.php2、.php3等后缀文件当PHP脚本运行
- XML文件可能产生外部实体注入,恶意构造压缩包可能产生解压炸弹
- 部分图片、文档处理库本身存在漏洞,上传恶意文件可触发远程代码执行
文件头插入HTML代码,被当成HTML文件解析,造成钓鱼、XSS攻击等
未对文件进行安全检测,若将文件放于公开下载服务器,恶意文件将被传播
