id	sid	标题	BUGTRAQ ID	CVE ID	应用类型

漏洞描述	文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严或webserver相关解析漏洞未修复而造成的，如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，攻击者可通过 Web 访问的目录上传任意文件，包括网站后门文件（webshell），进而远程控制网站服务器。　　攻击者可通过此漏洞上传恶意脚本文件，对服务器的正常运行造成安全威胁！
攻击范围	WEB服务器
解决方法	1、对上传文件类型进行限制，并且不能只做前端的限制，而要前端和后端一起限制，后端可以进行扩展名检测，重命名文件，MIME类型检测以及限制上传文件的大小，或是将上传的文件放在安全的路径下，尽量放于webserver之外的远程服务器等。　　2、严格限制和校验上传的文件，禁止上传恶意代码的文件。同时限制相关目录的执行权限，防范webshell攻击。　　3、对上传文件格式进行严格校验及安全扫描，防止上传恶意脚本文件；　　4、设置权限限制，禁止上传目录的执行权限；　　5、严格限制可上传的文件类型；　　6、严格限制上传的文件路径。　　7、文件扩展名服务端白名单校验。　　8、文件内容服务端校验。　　9、上传文件重命名。　　10、隐藏上传文件路径。
其它资料	请访问[jiwo.org]寻求解决方案。
备注