魔图漏洞存在于ImageMagick组件中,上次已经席卷整个安全圈了,哈哈哈哈。
言归正传,
文件上传攻击是黑客利用文件上传漏洞通过上传*.asp.jpg等畸形文件或*.aspx、*.php等网马文件到服务器的upload相关目录下,利用网站服务器的一些特性执行代码,获取网站管理员用户、密码等一些网站重要信息。
因此,如果需要在特定环境下允许上传文件并且要保证文件的安全性,那就需要对服务器和网站进行文件上传防护,简单来说就是以白名单的方式允许网站某目录只允许上传指定的文件类型,屏蔽禁止不符合要求的上传文件。
这样就可以极大程度上保证文件上传的安全性。