文件上傳類應(yīng)用的范圍還是很廣泛的，利用這個應(yīng)用同樣也可以進行攻擊。文件上傳的方式有多種，可以通過FTP也可以通過HTTP等，對比起來，F(xiàn)TP的上傳需要管理大量的用戶帳號，并且無法進行SSL編碼，安全上稍遜一籌，并且無法對不同類型的文件進行批量分類上傳處理，同時在對上傳文件大小、類型上無法很好的控制，因此，通過HTTP方式上傳是現(xiàn)在很普遍的WEB用法。
在標(biāo)簽中，需要將type設(shè)置為file，如input標(biāo)簽。
現(xiàn)在假設(shè)說，我們先制作一個待上傳的文件，如：

 example.php
<?
php echo "success"
?>

完成后，在有漏洞的頁面上傳該可以文件，成功后，可以查看它的路徑地址（或者之前可以通過上傳一張正常圖片文件，來探測上傳后文件們的存放地址），然后通過"http://....../example.php"就可以執(zhí)行剛上傳的這個文件，如果這個文件中不像我們剛剛設(shè)置的那樣，只是執(zhí)行打印功能，而是進行刪除，覆蓋、修改、或者是上傳超量大小的文件、連續(xù)上傳文件等，都會導(dǎo)致站點的無法訪問。

那么對應(yīng)這個情況，如何去進行防范呢？
1、不開放上傳功能（如果可以的話）
2、限制上傳文件的類型
3、限制上傳文件的大小
4、隱藏文件路徑
5、檢查上傳文件中是否含有惡意信息（如檢查圖片文件是否正常編碼開頭結(jié)尾）

但是對于如EXCEL類宏病毒的攻擊，好象這幾個方法就無效了，后續(xù)將研究宏病毒的檢查和防范。