本文用到的代码地址：https://github.com/Levones/PHP_file_upload_vlun，好评请给小星星，谢谢各位大佬！

0x00 漏洞描述

在实际开发过程中文件上传的功能时十分常见的，比如博客系统用户需要文件上传功能来上传自己的头像，写博客时需要上传图片来丰富自己的文章，购物系统在识图搜索时也需要上传图片等，文件上传功能固然重要，但是如果在实现相应功能时没有注意安全保护措施，造成的损失可能十分巨大，为了学习和研究文件上传功能的安全实现方法，我将在下文分析一些常见的文件上传安全措施和一些绕过方法。

我按照最常见的上传功能–上传图片来分析这个漏洞。为了使漏洞的危害性呈现的清晰明了，我将漏洞防御措施划分为几个不同的等级来作比较

0x00

WordPress的URL设置错误导致博客无法正常显示

情景描述

由于我的博客没有做正确的配置（在这里吐槽一下wordpress实在是太脆弱了，各种兼容性不友好），我的博客通过域名访问后会在地址栏变为我的服务器的IP地址，觉得这样十分不美观，于是就想自定义一下我的URL，百度之后发现这个可以直接在WP的设置中更改，但是我小手一抖，想改的URL还没打完就不小心按了回车键，结果博客立马就炸了，所有的资源链接都变成了我的那个不完整的链接，因此页面无法正常的完成加载，页面的响应速度也很慢，也无法正常登陆了，下面我来记录一下这个问题的解决办法。

0x00

此漏洞利用的是HTTP头部注入，参考资料：http://www.freebuf.com/articles/web/164817.html

首先放出实验来源：http://vulapps.evalbug.com/w_wordpress_6/

实验环境需要docker来挂载，docker安装教程：https://blog.csdn.net/levones/article/details/80474994