檔案上傳攻擊 

​檔案上傳類應用的範圍還是很廣泛的，利用這個應用同樣也可以進行攻擊。檔案上傳的方式有多種，可以通過FTP也可以通過HTTP等，對比起來，FTP的上傳需要管理大量的使用者帳號，並且無法進行SSL編碼，安全上稍遜一籌，並且無法對不同型別的檔案進行批量分類上傳處理，同時在對上傳檔案大小、型別上無法很好的控制，因此，通過HTTP方式上傳是現在很普遍的WEB用法。 
在標籤中，需要將type設定為file，如input標籤。
現在假設說，我們先製作一個待上傳的檔案，如：

 example.php 
<?
php echo "success" 
?> 

完成後，在有漏洞的頁面上傳該可以檔案，成功後，可以檢視它的路徑地址（或者之前可以通過上傳一張正常圖片檔案，來探測上傳後文件們的存放地址），然後通過"http://....../example.php"就可以執行剛上傳的這個檔案，如果這個檔案中不像我們剛剛設定的那樣，只是執行列印功能，而是進行刪除，覆蓋、修改、或者是上傳超量大小的檔案、連續上傳檔案等，都會導致站點的無法訪問。 

那麼對應這個情況，如何去進行防範呢？ 
1、不開放上傳功能（如果可以的話） 
2、限制上傳檔案的型別 
3、限制上傳檔案的大小 
4、隱藏檔案路徑 
5、檢查上傳檔案中是否含有惡意資訊（如檢查圖片檔案是否正常編碼開頭結尾） 

但是對於如EXCEL類巨集病毒的攻擊，好象這幾個方法就無效了，後續將研究巨集病毒的檢查和防範。