「作者简介」：2022年北京冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础对安全知识体系进行总结与归纳，著作适用于快速入门的 《网络安全自学教程》，内容涵盖系统安全、信息收集等12个知识域的一百多个知识点，持续更新。

文件上传漏洞是指：用户通过「文件上传功能」，上传「可执行脚本」文件到服务器本地，拿到服务器「权限」。
漏洞形成的核心在于：网站对上传的文件过滤不够严谨。
因此，我们学习的重点要放在：文件过滤的方式，以及如何绕过这些过滤！

文件上传漏洞

1、前端绕过
2、MIME类型绕过
3、后缀名绕过
4、.htaccess绕过
5、点绕过
6、防御

1、前端绕过
1）程序员在「前端」使用「JS代码过滤」上传的文件，过滤成功以后，再向后端发送请求，代码逻辑示例：
//JS检查文件类型（大概逻辑）
function checkFile() {
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//文件类型不满足时，返回false，并弹窗
if(){......