文件上传漏洞-防御

防御文件上传的方法各种各样

1、限制文件上传的类型（不让上传php等脚本类文件、只允许上传图片）

2、给上传的文件重命名，让攻击者找不到自己传的文件在哪

3、限制文件上传大小

4、压缩上传文件

5、把上传的文件存储到文件服务器或者OSS平台

DVWA文件上传漏洞防御

1、medium

medium的渗透测试解决办法：

通过抓包，修改requests请求消息中的文件类型，我们可以使用burpsuite将postdata中的Content-Type:application/octet-stream改成Content-Type:image/jpeg

2、Hight

hight的渗透测试解决办法：

利用DVWA的文件包含漏洞组合利用[文件名含会把读取的文件当作PHP代码执行]

3、Impossible 

1、image/jpeg将原本的图片重新编码创建一个新的JPEG图像，最后0-100代表清晰度，0 质量最差，100质量最好

2、image/png将原本的图片重新编码创建一个新的png图像