开发人员经常直接使用可能存在漏洞的输入或将其与文件连接在一起，或者假定输入文件是真实的。如果未正确检查数据，则可能导致Web服务器处理或调用易受攻击的内容。

例

一些经典的例子包括-

• 将.jsp文件上传到Web树中。
• 上传.gif以调整大小。
• 上传大文件。
• 上载包含标签的文件。
• 将.exe文件上传到Web树中。

动手

步骤1-启动WebGoat并导航到恶意文件执行部分。该场景的快照在下面给出-

步骤2-为了完成本课程，我们需要在上述位置上传guest.txt。

步骤3-让我们创建一个jsp文件，以便在执行jsp时创建guest.txt文件。在执行上下文中时，jsp的命名没有任何作用。

步骤4-现在上传jsp文件，并在上传后复制相同的链接位置。上载需要图像，但是我们上载了一个jsp。

步骤5-通过导航到jsp文件，不会向用户发送任何消息。

步骤6-现在刷新您上载了jsp文件的会话，您将收到消息“ *恭喜。您已成功完成本课”。

预防机制

• 使用网站权限保护网站。
• 为Web应用程序安全性采取对策。
• 了解IIS 7.0中的内置用户帐户和组帐户。