任意文件操作 - 文件上传
  任意文件上传:由于对上传文件未作过滤或过滤机制不严(文件后缀或类型),导致恶意用户可以上传脚本文件(jsp、php、asp),通过上传文件可以达到控制网站权限的目的

漏洞场景:原生漏洞场景 Payload 流量分析

可上传任意类型文件

tips
PS:这里其实有个问题,上传jsp脚本文件后,访问并不解析,而是直接下载
SpringBoot默认不支持jsp文件解析,本想着做jsp和Thymeleaf的同时解析,发现实现起来有点困难(至少现在认为是这样),当然后续会进行补充调整
测试结果

                                        

缺陷代码

安全场景:文件上传白名单

只能上传图片哦!

tips
安全编码规范:
    1、后端采用白名单对上传文件类型进行限制
    2、目录权限限制,禁止上传目录具有脚本解析环境
    3、对上传文件回显相对路径或者不显示路径
    4、采用云存储桶来存储用户上传的文件
                                            
测试结果

                                        

安全代码