文件上传漏洞攻防实战：从Webshell上传到服务器权限加固

1. 项目概述：从一次真实的文件上传漏洞攻防说起

几年前，我接手了一个企业网站的应急响应。客户反馈网站首页被篡改，挂上了奇怪的标语。初步排查，服务器上多出了一个名为shell.php的可疑文件。溯源发现，问题出在一个不起眼的“用户头像上传”功能上。攻击者并没有用什么高深的技术，只是简单地将一个图片木马的后缀名从.php改为了.jpg，就成功绕过了前端校验，将Webshell传上了服务器，进而拿到了整个站点的控制权。这个案例，就是典型的“文件上传漏洞”利用。

文件上传漏洞，在OWASP Top 10中长期占有一席之地，因其危害直接、利用简单，常被作为渗透测试的突破口，也是防守方必须加固的重中之重。它绝不仅仅是“传个木马”那么简单，其背后涉及前端校验、后端验证、服务器解析、目录权限、WAF绕过等一系列复杂且环环相扣的安全问题。而一旦漏洞被利用，攻击者获取的往往是Web服务器的执行权限，后续的内网横向移动、数据窃取、勒索加密等高级攻击便有了坚实的跳板。

因此，我们今天要深入探讨的，正是这个看似基础却威力巨大的漏洞。本文不仅会拆解攻击者如何利用文件上传漏洞获取服务器权限，更会站在防御者的角度，详细讲解一套从漏洞修复到服务器权限最小化加固的完整实战方案。无论你是刚入门的安全爱好者、负责运维的开发工程师，还是希望提升实战能力的渗透测试人员，都能从中获得可直接复现的“攻防一体”的实操经验。我们的目标很明确：知其然，更知其所以然，最终筑起有效的安全防线。

2. 文件上传漏洞的深度解析：攻击者的视角

要有效防御，必须先透彻理解攻击。文件上传漏洞的本质在于，应用程序对用户上传的文件缺乏充分且有效的安全检查，导致恶意文件被上传至服务器可访问的目录，并被解释执行。

2.1 漏洞产生的核心原因

漏洞产生的根源通常在于开发过程中的安全意识缺失或实现逻辑缺陷：

1. 缺乏有效的文件类型验证：仅依赖客户端（如JavaScript）或简单的HTTP头（如Content-Type）进行校验，攻击者可以轻易绕过。
2. 黑名单机制存在缺陷：仅禁止如.php,.asp,.jsp等扩展名，但遗漏了.php5,.phtml,.phps,.htaccess等同样可被解析的执行后缀。
3. 文件内容检查不严：未对文件内容进行真正的二进制特征或结构检查（如图片的文件头Magic Bytes），导致“图片马”得以存活。
4. 解析逻辑漏洞：服务器配置不当，导致某些特殊文件名（如test.php.jpg）被错误解析为PHP文件。
5. 目录权限设置过高：上传目录被赋予了执行权限，使得任何上传的文件都可能作为代码执行。

2.2 常见的绕过手法与实战利用

攻击者的思路是层层递进，尝试绕过每一道可能的防线。下面我们以一个假设的上传点为例，模拟攻击流程。

场景：一个图片上传功能，声称只允许上传JPG、PNG图片。

2.2.1 前端校验绕过

这是最初级的防御，通常由JavaScript实现。

// 前端校验示例（易被绕过） function checkFile() { var file = document.getElementById("upload").value; var ext = file.substring(file.lastIndexOf(".")).toLowerCase(); if (ext != '.jpg' && ext != '.png') { alert('只允许上传JPG或PNG图片！'); return false; } return true; }

绕过方法：

• 禁用浏览器JS：直接关闭浏览器的JavaScript执行功能。
• 代理工具拦截修改：使用Burp Suite等工具抓取HTTP请求，在请求包中直接修改文件名，例如将shell.php改为shell.jpg发送，或者在上传后拦截响应，修改其指向。
• 直接发送POST请求：通过Python的requests库或curl命令直接构造上传请求包，完全绕过浏览器环境。

实操心得：在实际渗透中，遇到上传点第一步就是抓包。前端校验形同虚设，真正的战斗从数据包离开浏览器后才开始。

2.2.2 服务端Content-Type校验绕过

服务器端检查HTTP请求头中的Content-Type字段，要求其为image/jpeg、image/png等。

POST /upload.php HTTP/1.1 ... Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123 ------WebKitFormBoundaryABC123 Content-Disposition: form-data; name="file"; filename="shell.php" Content-Type: application/php <!-- 原始类型，会被拦截

绕过方法： 使用代理工具，将Content-Type修改为image/jpeg。

Content-Disposition: form-data; name="file"; filename="shell.php" Content-Type: image/jpeg <!-- 修改为图片类型，尝试绕过

2.2.3 服务端扩展名黑名单绕过

服务器检查文件扩展名，黑名单包含.php,.asp等。

绕过方法：

• 大小写混淆：.PhP,.PHP,.pHp（在某些大小写不敏感的系统中有效）。
• 特殊后缀：.php5,.phtml,.phps,.php7（取决于服务器配置的解析器）。
• 双扩展名：shell.php.jpg。如果服务器只检查最后一个扩展名（.jpg）则通过，但某些老旧服务器或特定配置可能会按第一个扩展名（.php）解析。
• 空字节截断（在特定老旧PHP版本中）：shell.php%00.jpg。在PHP处理字符串时，%00（空字节）会被认为是字符串结束，因此服务器可能只看到shell.php。此漏洞在PHP 5.3.4后已基本修复，但仍需了解。
• 点号/空格结尾：shell.php.或shell.php。某些系统在处理文件名时会自动去除末尾的点或空格，最终存储为shell.php。

2.2.4 文件内容/文件头校验绕过

这是较为有效的防御，服务器会读取文件开头几个字节（Magic Bytes）判断真实类型。

• JPEG:FF D8 FF E0
• PNG:89 50 4E 47

绕过方法：制作“图片马”

1. 准备一个简单的Webshell，例如：

   <?php @eval($_POST['cmd']);?>

2. 准备一张正常图片，例如normal.jpg。
3. 在Linux下使用cat命令合并：cat normal.jpg shell.php > shell.jpg
4. 此时shell.jpg的文件头仍然是FF D8 FF E0，能通过图片校验，但文件末尾包含了PHP代码。

关键点：这种文件能否执行，取决于服务器如何处理。如果服务器仅检查文件头就放行，并将文件保存在可执行目录，那么直接访问shell.jpg是无法执行PHP的，因为Apache/Nginx默认不会将.jpg解析为PHP。攻击的下一个目标就是触发解析漏洞。

2.2.5 解析漏洞与组合利用

这是将“图片马”变为“可执行木马”的关键一步。常见解析漏洞有：

• IIS 5.x/6.0 目录解析：/upload/shell.asp;.jpg会被IIS解析为ASP文件。
• IIS 7.0/7.5 Fast-CGI解析：/upload/shell.jpg/.php在特定配置下会被解析为PHP。
• Nginx 畸形解析（旧版本）：/upload/shell.jpg%00.php或/upload/shell.jpg /xxx.php在错误配置下可能导致shell.jpg被PHP解析。
• Apache 多后缀解析：如果配置了AddHandler php5-script .php，那么shell.php.xxx可能因为.xxx不在已知扩展名列表中，而被向前寻找解析器，最终由PHP处理。

实战组合拳：

1. 上传一个内容为PHP代码的shell.jpg，绕过内容检查。
2. 利用服务器解析漏洞，通过特定URL访问（如http://target/upload/shell.jpg/.php），使服务器将其作为PHP脚本执行。
3. 如果不存在解析漏洞，但服务器错误配置，导致上传目录有执行权限且.jpg被错误地关联到PHP解析器，那么直接访问shell.jpg也可能成功。但这比较罕见。

注意事项：现代Web服务器默认配置下，单纯的图片马+解析漏洞的利用条件已比较苛刻。攻击者更倾向于寻找“白名单校验”但“重命名逻辑”有缺陷的点，或者配合其他漏洞（如路径穿越、条件竞争）来实现上传。

2.2.6 条件竞争上传绕过

在一些设计复杂的上传逻辑中，服务器可能会：先允许文件上传到临时目录，然后进行安全检查，检查通过再移动到正式目录，不通过则删除。攻击思路：利用“检查”和“删除”之间的微小时间窗口（毫秒级），不断疯狂上传木马并同时访问它，只要在删除前访问成功一次，Webshell就能被触发并常驻内存（例如，执行一个死循环或写入一个持久化后门文件）。工具：通常需要编写脚本并发上传和访问。Burp Suite的 Intruder 模块配合Turbo Intruder扩展是进行此类条件竞争测试的利器。

3. 服务器权限加固：从漏洞修复到纵深防御

成功拦截一次文件上传攻击，只是安全防御的开始。我们必须假设防线可能被突破，因此需要构建多层次的权限壁垒，将攻击者可能造成的损害降到最低。这就是“服务器权限加固”的核心思想——最小权限原则。

3.1 漏洞点修复：治标更要治本

首先，我们要在应用层根除文件上传漏洞。

3.1.1 设计安全的文件上传功能

1. 使用白名单，而非黑名单：只允许业务必需的文件扩展名，如['.jpg', '.jpeg', '.png', '.gif']。白名单比黑名单可靠得多。
2. 文件类型双重校验：
   • 检查扩展名（白名单）。
   • 检查文件MIME类型（从HTTP头获取，但不可信）。
   • 检查文件魔数（Magic Bytes）：读取文件开头字节进行二进制校验。这是最可靠的方式。

   # Python示例：使用python-magic库 import magic mime = magic.from_buffer(file.read(2048), mime=True) if mime not in ['image/jpeg', 'image/png']: raise InvalidFileTypeError()

3. 对上传文件进行重命名：切勿使用用户提供的文件名。应采用随机生成的文件名（如UUID）并保留原始扩展名。

   import uuid import os original_ext = os.path.splitext(user_filename)[1] # 获取扩展名，如 .jpg if original_ext.lower() not in ALLOWED_EXTENSIONS: raise InvalidFileTypeError() new_filename = f"{uuid.uuid4().hex}{original_ext}"

4. 限制文件大小：在服务器端设置合理的上限，防止DoS攻击。
5. 对图片进行二次处理（转码/缩放）：对于图片文件，可以使用GD库或Pillow等库进行重新压缩、缩放或格式转换。这个过程会破坏嵌入在文件中的任何额外代码，是防御图片马非常有效的手段。

3.1.2 安全的服务器配置

即使文件上传逻辑完美，错误的服务器配置也可能引入风险。

1. 设置上传目录无执行权限：这是铁律。确保上传文件的目录（如/var/www/html/uploads/）不能执行任何脚本。
   • Apache配置：

     <Directory "/var/www/html/uploads"> php_flag engine off Options -ExecCGI RemoveHandler .php .php5 .phtml RemoveType .php .php5 .phtml </Directory>

   • Nginx配置：确保上传目录的location块中不包含PHP的fastcgi_pass指令。

     location ~ ^/uploads/.*\.(php|php5|phtml)$ { deny all; }

2. 防止解析漏洞：及时更新Web服务器（Nginx/Apache/IIS）和语言解释器（PHP/Python/Java）到最新稳定版，避免已知的解析漏洞。
3. 使用独立的域名或路径：考虑将用户上传的文件（如图片、附件）通过独立的二级域名（如static.yourdomain.com）提供服务。该域名对应的服务器或配置只提供静态文件服务，彻底剥离脚本执行环境。

3.2 操作系统层权限加固：构筑底层防线

当攻击者通过Web漏洞获取了Web服务器的执行权限（通常是www-data或nginx用户），我们的目标就是将其牢牢锁死在这个最小权限的“牢笼”里。

3.2.1 权限最小化原则

• Web服务以非root用户运行：绝对不要使用root用户运行Nginx、Apache或PHP-FPM。应该创建专用的低权限用户，如www-data。
• 文件系统权限严格控制：
  • Web根目录（如/var/www/html）应设置为755权限，所有者是root或一个管理用户，运行用户（www-data）只有读和执行权限。

  chown -R root:root /var/www/html chmod -R 755 /var/www/html

  • 上传目录（如/var/www/html/uploads）的所有者可以是www-data，权限设置为755或更严格的755（www-data可写，其他用户只读）。确保目录的setuid、setgid、sticky位未被设置。
  • 关键配置文件、日志目录等，www-data用户应只有读或写（仅日志）权限，无执行权。

3.2.2 系统服务与命令限制

1. 使用chroot或容器进行隔离：为Web服务配置chroot监狱，或者直接使用Docker容器来运行应用。这能将Web进程访问的文件系统范围限制在一个极小的子集内，即使被突破，也无法访问宿主机的关键文件。
2. 限制系统命令调用：在PHP中，禁用危险函数。
   • 修改php.ini：

     disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,pcntl_exec,dl

   • 注意：这会影响某些正常功能，需根据业务权衡。
3. 配置Linux安全模块：
   • SELinux/AppArmor：为Web服务进程（如Nginx、PHP-FPM）配置强制访问控制策略。例如，AppArmor可以严格定义进程可以读、写、执行的路径，即使进程被攻陷，也无法违反策略。这是非常强大的纵深防御手段，但配置有一定复杂度。

   # 检查AppArmor状态 sudo aa-status # 为Nginx生成一个默认的配置档案（如果尚未存在） sudo aa-genprof nginx

3.2.3 网络访问控制

• 防火墙限制出站连接：Web服务器通常不需要主动向外发起大量连接。使用iptables或firewalld限制www-data用户或进程的出站连接，只允许访问必要的服务（如数据库、Redis、SMTP）。这能有效阻断反弹Shell、横向移动和数据外泄。

  # 示例：只允许www-data用户进程访问内网数据库(3306)和Redis(6379) # 这需要更精细的cgroup或进程匹配规则，通常结合应用层防火墙或网络策略实现。

• 部署WAF（Web应用防火墙）：在Web服务器前部署WAF，如ModSecurity（开源）或商业WAF产品。它可以基于规则识别和阻断文件上传攻击、SQL注入等常见Web攻击，为应用本身增加一道缓冲。

3.3 入侵检测与应急响应

加固是为了防患于未然，但必须做好被突破的准备。

1. 文件完整性监控：使用工具如AIDE(Advanced Intrusion Detection Environment) 或Tripwire，对关键系统文件和Web目录建立哈希值数据库。定期或实时扫描，一旦发现未授权的更改（如Webshell被上传），立即告警。

   # 安装并初始化AIDE sudo apt install aide sudo aideinit sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db # 手动检查 sudo aide --check

2. 日志集中分析与告警：确保Web服务器（Nginx/Apache）、应用日志、系统日志（auth.log,syslog）被妥善收集（使用ELK Stack或Graylog）。针对可疑行为设置告警规则，例如：
   • 上传目录下访问.php文件（本不应存在）。
   • Web日志中出现大量POST请求到异常路径。
   • 系统日志中出现www-data用户尝试执行sudo或ssh命令。
3. 定期安全扫描与渗透测试：使用自动化工具（如Nessus, OpenVAS）定期扫描服务器漏洞。更重要的是，定期聘请专业团队或使用自动化渗透测试工具（如Burp Suite Professional的扫描器）对Web应用进行黑盒/白盒测试，主动发现类似文件上传这样的业务逻辑漏洞。

4. 实战演练：构建一个安全的文件上传服务

让我们从一个简单的Python Flask应用开始，演示如何实现一个具备基本安全性的文件上传功能，并配置安全的服务器环境。

4.1 应用层安全实现

# app.py import os import uuid from flask import Flask, request, jsonify from werkzeug.utils import secure_filename import magic # 需要安装 python-magic-bin (Windows) 或 python-magic (Linux) from PIL import Image # 需要安装 Pillow app = Flask(__name__) # 配置 app.config['UPLOAD_FOLDER'] = '/var/www/html/static/uploads' # 上传目录，应位于静态文件服务区 app.config['MAX_CONTENT_LENGTH'] = 2 * 1024 * 1024 # 限制2MB ALLOWED_EXTENSIONS = {'.jpg', '.jpeg', '.png'} ALLOWED_MIMETYPES = {'image/jpeg', 'image/png'} def allowed_file(filename): """白名单校验扩展名""" ext = os.path.splitext(filename)[1].lower() return ext in ALLOWED_EXTENSIONS def check_magic_bytes(file_stream): """检查文件魔数""" mime = magic.from_buffer(file_stream.read(2048), mime=True) file_stream.seek(0) # 重置文件指针 return mime in ALLOWED_MIMETYPES def process_image(file_path): """对图片进行二次处理，破坏潜在嵌入代码""" try: img = Image.open(file_path) # 转换为RGB模式（去除Alpha通道），调整大小，并重新保存为JPEG if img.mode in ('RGBA', 'LA', 'P'): img = img.convert('RGB') img.thumbnail((1024, 1024)) # 限制最大尺寸 img.save(file_path, 'JPEG', quality=85, optimize=True) except Exception as e: app.logger.error(f"Image processing failed: {e}") # 处理失败，应删除文件或采取其他措施 os.remove(file_path) raise @app.route('/upload', methods=['POST']) def upload_file(): if 'file' not in request.files: return jsonify({'error': 'No file part'}), 400 file = request.files['file'] if file.filename == '': return jsonify({'error': 'No selected file'}), 400 # 1. 校验扩展名（白名单） if not allowed_file(file.filename): return jsonify({'error': 'File type not allowed'}), 400 # 2. 校验MIME类型（从请求头，仅供参考，不可信） # 略过，直接进行魔数校验 # 3. 校验文件魔数（真实类型） if not check_magic_bytes(file.stream): return jsonify({'error': 'File content does not match its extension'}), 400 # 4. 生成安全的随机文件名，保留原扩展名 original_ext = os.path.splitext(file.filename)[1].lower() safe_filename = secure_filename(f"{uuid.uuid4().hex}{original_ext}") save_path = os.path.join(app.config['UPLOAD_FOLDER'], safe_filename) # 5. 保存文件 file.save(save_path) # 6. 对图片进行二次处理（如果是图片） if original_ext in ['.jpg', '.jpeg', '.png']: try: process_image(save_path) except Exception as e: return jsonify({'error': 'Image processing failed'}), 500 # 7. 返回访问路径（注意：应是静态资源URL，而非服务器路径） file_url = f"/static/uploads/{safe_filename}" return jsonify({'url': file_url}), 200 if __name__ == '__main__': # 确保上传目录存在且权限正确（应在部署时设置，此处仅为演示） os.makedirs(app.config['UPLOAD_FOLDER'], exist_ok=True) # 生产环境应使用Gunicorn等WSGI服务器，而非Flask自带的 app.run(debug=False) # 生产环境必须关闭debug模式！

4.2 服务器环境加固配置

假设我们使用Nginx + Gunicorn + Flask的架构。

1. 创建专用用户和组：

   sudo groupadd webapps sudo useradd -g webapps -s /bin/false flaskuser

2. 设置目录权限：

   sudo chown -R flaskuser:webapps /var/www/myapp sudo chmod -R 750 /var/www/myapp # 上传目录，允许flaskuser写入 sudo chown -R flaskuser:webapps /var/www/html/static/uploads sudo chmod -R 755 /var/www/html/static/uploads # 或 750，如果Nginx用户与flaskuser同组

3. 配置Nginx（屏蔽上传目录执行权限）：

   server { listen 80; server_name yourdomain.com; location /static/ { alias /var/www/html/static/; # 关键：禁止执行PHP等脚本 location ~ \.php$ { deny all; return 403; } } location / { proxy_pass http://127.0.0.1:8000; # Gunicorn proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }

4. 使用Gunicorn运行应用（以专用用户身份）：

   sudo -u flaskuser gunicorn --workers 3 --bind 127.0.0.1:8000 app:app

5. 配置系统防火墙：

   sudo ufw allow 80/tcp sudo ufw allow 22/tcp # SSH sudo ufw --force enable

5. 常见问题排查与防御技巧实录

在实际运维和渗透测试中，总会遇到一些棘手的情况。这里记录一些典型问题和我的处理经验。

5.1 攻击层面：上传点探测与绕过技巧

问题1：如何快速发现上传点？

• 手动爬虫：关注“上传”、“头像”、“附件”、“编辑”、“管理后台”等关键词的链接和表单。
• 工具扫描：使用Burp Suite的爬虫功能，或dirsearch、gobuster等目录扫描工具，寻找upload、file、admin等常见路径。
• JS文件分析：查看前端JavaScript代码，搜索FormData、File、multipart/form-data等API和内容类型。

问题2：遇到WAF（Web应用防火墙）拦截怎么办？WAF通常会检查请求体中的特定关键词（如eval、system）和文件内容。

• 混淆Webshell代码：使用编码（Base64、Hex）、字符串拼接、异或加密、自定义加密函数等方式绕过内容检测。

  // 原始：<?php @eval($_POST['c']);?> // 混淆1：<?php $a='ev'.'al'; $a($_POST['c']);?> // 混淆2（Base64）：<?php eval(base64_decode('QGV2YWwoJF9QT1NUWydjJ10pOw=='));?>

• 分块传输编码：利用HTTP的Transfer-Encoding: chunked，可能干扰WAF对完整请求体的解析。
• 利用协议特性：尝试multipart表单数据的不同编码方式、添加冗余数据、畸形的边界符等。

实操心得：WAF绕过是猫鼠游戏。没有一成不变的方法。最好的方式是理解WAF的检测原理（正则匹配、语法树分析等），然后针对性地变形。多关注安全社区分享的最新绕过姿势。

5.2 防御层面：加固后的故障排查

问题1：上传功能正常，但图片处理后无法显示？

• 检查权限：确保运行Gunicorn的flaskuser对处理后的文件有读权限。PIL处理图片时可能会改变文件属主。
• 检查Nginx配置：确认/static/uploads/的location块配置正确，alias路径无误，且没有错误的deny规则。
• 检查处理逻辑：PIL的save方法可能会因格式不支持而抛出异常。确保异常被捕获并日志记录，同时要有失败处理机制（如删除损坏文件）。

问题2：配置了SELinux/AppArmor后，应用无法写入上传目录？这是最常见的问题。

• 查看日志：sudo dmesg | tail或sudo journalctl -xe查看被拒绝的日志。
• 临时放行测试：将SELinux设置为宽容模式sudo setenforce 0，或禁用AppArmor对特定进程的配置sudo aa-complain /path/to/profile。如果问题解决，则证明是安全模块拦截。
• 修正策略：不要直接关闭安全模块！而是根据日志提示，添加正确的规则。
  • SELinux：使用audit2allow生成新规则。

    sudo grep denied /var/log/audit/audit.log | audit2allow -M mypolicy sudo semodule -i mypolicy.pp

  • AppArmor：编辑相应的配置文件（通常在/etc/apparmor.d/下），为进程添加写权限路径，如/var/www/html/static/uploads/** rw,。

问题3：如何监控上传目录是否被上传了Webshell？

• 文件完整性监控：如前所述，使用AIDE。可以设置更频繁的检查周期，或使用inotify等内核特性进行实时监控。

  # 使用inotify-tools简单监控上传目录的创建和修改事件 sudo apt install inotify-tools inotifywait -m -r -e create,modify /var/www/html/static/uploads/ --format '%w %f %e'

• 日志分析脚本：编写脚本定期扫描上传目录，检查文件中是否包含危险的PHP函数字符串（如eval(、system(、base64_decode(），但要注意误报。
• 商业安全产品：考虑使用HIDS（主机入侵检测系统）如OSSEC，或云厂商提供的安全中心，它们通常具备更完善的恶意文件检测能力。

问题4：已经按照最小权限运行，但攻击者还是利用应用漏洞读取了/etc/passwd怎么办？这属于应用层漏洞（如目录遍历、本地文件包含）。权限加固无法完全阻止此类信息泄露。此时需要：

1. 修复应用漏洞。
2. 进一步加强隔离：考虑将应用放入Docker容器，并在容器内进一步限制能力（--cap-drop ALL，--read-onlyrootfs）。
3. 使用Seccomp等内核安全特性：限制进程可用的系统调用，即使读取了文件描述符，也可能无法使用某些调用来泄露其内容。

文件上传漏洞的攻防是一场持续的动态博弈。作为防御者，我们的策略应该是多层次、纵深化的：在应用层实现严谨的白名单校验和文件处理逻辑；在服务器层遵循最小权限原则，严格配置Web服务和文件系统；在网络层控制访问流量；并辅以有效的监控和应急响应机制。没有一劳永逸的银弹，唯有深入理解攻击原理，扎实做好每一项基础安全配置，才能构建起真正有韧性的防御体系。在我经历过的众多安全事件中，绝大多数成功的入侵都源于对某个“不起眼”的基础安全项的忽视。从今天起，检查你的上传功能，审视你的服务器权限，或许就是提升安全水位最关键的一步。