总体的防御核心思想

确保上传的文件不会被服务器解析成可执行的脚本，进而引发偏离功能设计的以外后果

限制文件上传的类型

①白名单结合黑名单：黑名单常常会出现遗漏或者大小写绕过的问题，所以通常采用白名单限制安全的文件类型，如
图片：.jpg .png .gif .bmp
文档：.doc .docx .pdf .txt
压缩包：.rar .zip

②类型限制：前端JS结合后端限制（这个很重要，有些网站只是前端限制，后端是没有任何检测的，这个只需要burp抓包就可以修改的东西一点都不安全）

③扩展名检测，需要防范%截断或者文件名包含空格等特殊字符的绕过方式（如Tomcat就可以用这个方式绕过），最好的方式就是重命名用户上传的文件，杜绝上传时的文件名攻击。

④对于用户上传的图片，可以考虑对其进行二次渲染或者压缩，当用户上传图片时，要求用户对图片进行截取，如上传头像可以进行这个操作，压缩最好的例子就是像qq这种每次上传转载图片时，图片的像素都会变小，越来越模糊。

限制上传文件大小

主要就是防止DDOS攻击：
①限制上传文件的大小，防止由于内存、磁盘耗尽造成的拒绝服务攻击。

②可以配置web server允许的最大POST大小。

③可以在代码层面获取上传文件的大小，根据文件类型的不同进行进一步的过滤。

确保上传文件被访问正确返回

①将文件上传目录设置为静态资源目录，防止被解析为脚本执行。

②使用代理页面隐藏真实路径，如/attachment/getfile.php?fileid=123

③使用上诉方式时，确保Content-Type与实际文件类型一致（检测文件时不要只是检测文件后缀，最主要的是在后端检测文件头是什么类型）。

④如果文件不允许在页面展示，仅允许下载，请设置Content-disposition:attachment

其他方式

①确保上传的文件放在安全的路径下，必要时可将上传的文件放于web server之外的远程服务器。

②确保web server版本为最新，防止由于web server老版本漏洞造成的文件意外解析。

③部分文件上传攻击会配合本地其他漏洞进行，所以也要保证web服务器减少其他可利用漏洞。

总结

IIS6.0文件解析漏洞

升级IIS版本，IIS5.1与IIS7.5均无此漏洞

Apache文件解析漏洞

不要使用AddHandler，改用SetHandler，写好正则，就不会有解析问题。

<FilesMatch ".+\.php$">
SetHandler application /x-httpd-php
</FilesMatch>

禁止.php.这样的文件执行，

<FilesMatch ".+\/ph(p[3457]?|t|tml)\.">
Require all denied
</FilesMatch>

Nginx文件解析漏洞

①将php.ini文件中的cgi.fix_pathinfo的值设置为0，这样PHP在解析1.php/1.jpg这样的目录时，只要1.JPG不存在就会显示404。

②将/etc/php5/fpm/pool.d/www.conf中security.limit_extensions后面的值设为.php。

Tomcat任意文件上传漏洞

①Tomcat任意文件上传漏洞环境较为苛刻，将Tomcat、JDK、PHP更新。只要一个版本不是漏洞的版本都不会有这个漏洞。

②避免开启可通过PUT方式创建JSP文件的功能。避免修改readonly的值为false，默认是true，不修改的话就不会开启PUT和DELETE方式。