「上傳漏洞」以及「登陸頁暴力破解」的防護

上傳漏洞、登錄頁暴力破解的危害性比較大，由於一旦成功，便等於得到了寫文件或更改網站配置的權限，從而方便進一步提權，

下面是針對這兩種威脅的防範手段：

上傳漏洞
==============================================================================================================
*	「文件上傳漏洞」，包括但不限於
	-	http請求頭MIME欺騙、
	-	文件名或目錄名%00截斷上傳、
	-	雙文件上傳、
	-	瀏覽器路徑解析漏洞、
	-	圖片一句話木馬+文件包含、
	-	未受權直接自構表單上傳

*	文件上傳防護方案：
	-	1.客戶端檢測，使用JS對上傳圖片檢測，包括文件大小、文件類型等
	-	2.服務端檢測，對文件大小、文件路徑、文件擴展名、文件類型、文件內容檢測，對文件重命名
	-	3.其餘限制，服務器端上傳目錄設置不可執行權限








防止登陸頁暴力破解
===============================================================================================================
*	驗證碼或令牌驗證（在檢查用戶名、密碼以前優先檢查驗證碼，服務端限制驗證碼不爲空、每驗證一次就清空session的驗證碼信息）。
*	登陸失敗次數限制。必定時間內登陸失敗多少次就封號，就算接下來猜對了密碼也提示用戶名或密碼失敗。
*	ip或代理黑名單。
*	提示信息，不管用戶名正確與否，老是提示用戶名或密碼錯誤。