文件上傳類應(yīng)用的范圍還是很廣泛的，利用這個(gè)應(yīng)用同樣也可以進(jìn)行攻擊。文件上傳的方式有多種，可以通過FTP也可以通過HTTP等，對(duì)比起來，F(xiàn)TP的上傳需要管理大量的用戶帳號(hào)，并且無法進(jìn)行SSL編碼，安全上稍遜一籌，并且無法對(duì)不同類型的文件進(jìn)行批量分類上傳處理，同時(shí)在對(duì)上傳文件大小、類型上無法很好的控制，因此，通過HTTP方式上傳是現(xiàn)在很普遍的WEB用法。
在標(biāo)簽中，需要將type設(shè)置為file，如input標(biāo)簽。
現(xiàn)在假設(shè)說，我們先制作一個(gè)待上傳的文件，如：

 example.php
<?
php echo "success"
?>

完成后，在有漏洞的頁面上傳該可以文件，成功后，可以查看它的路徑地址（或者之前可以通過上傳一張正常圖片文件，來探測(cè)上傳后文件們的存放地址），然后通過"http://....../example.php"就可以執(zhí)行剛上傳的這個(gè)文件，如果這個(gè)文件中不像我們剛剛設(shè)置的那樣，只是執(zhí)行打印功能，而是進(jìn)行刪除，覆蓋、修改、或者是上傳超量大小的文件、連續(xù)上傳文件等，都會(huì)導(dǎo)致站點(diǎn)的無法訪問。

那么對(duì)應(yīng)這個(gè)情況，如何去進(jìn)行防范呢？
1、不開放上傳功能（如果可以的話）
2、限制上傳文件的類型
3、限制上傳文件的大小
4、隱藏文件路徑
5、檢查上傳文件中是否含有惡意信息（如檢查圖片文件是否正常編碼開頭結(jié)尾）

但是對(duì)于如EXCEL類宏病毒的攻擊，好象這幾個(gè)方法就無效了，后續(xù)將研究宏病毒的檢查和防范。