上傳:
上傳的時候可以上傳一個木馬文件;
或者將木馬文件的後綴更改爲jpg後上傳;
1.路徑的權限–防止黑客以…/…/進入到根目錄,獲取磁盤大量文件;
2.上傳的文件頭必須設定;
3.上傳的文件內容header等必須檢查驗證;
4.上傳的文件內容中不能有執行文件;
5.文件的頭文件最好是白盒;
6.文件上傳後,名稱強制更改;
下載:
1.下載的url必須身份認證;
2.下載過程中不能有文件的殘留,證書什麼的;
3.服務器對下載數據加簽名,應用端做驗證,防止篡改下載包地址後,應用端下載了黑客的包.