大部分应用系统都有上传图片或文件的功能，攻击者利用这些功能上传一个网页木马，如果存放上传文件的目录有执行脚本的权限，那么攻击者就可以直接得到一个WebShell，进而控制Web服务器。这个漏洞有两个必要条件，一是可以上传木马，二是存放上传文件的目录具备执行脚本的权限。上传是业务的功能需要，即便有做各种安全过滤，限制木马上传，但也有各种绕过过滤的攻击方法，比较难以限制。所以漏洞的关键就.