文件上传检测流程
前端提交:
javaScript检测、Flash AS检测
app:java代码检测
数据传输:
形成的报文到后端处理 -> 会存在WAF拦截、IPS入侵防御拦截
后端处理:
文件扩展名检测、MIME TYPE检测(报文文件参数content type)、文件格式检测、内容检测(检测恶意代码)
写入文件系统:
文件重命名、强制改变后缀名为jpg、杀毒软件查杀(隔离区或删除、00截断)
访问文件:
无执行权限(直接返回文件内容)、未知位置(根据特殊名或id读取文件)