1、前端JS，文件名过滤，Content-Type过滤

抓包修改文件名

2、文件头过滤绕过

以图片上传为例，PNG的文件头89504E47，将其加入白名单，凡是不是89504E47开头的文件，都不允许上传。

只需给webshell脚本的二进制文件，人工添加89504E47，即可绕过文件头过滤检验，且不影响webshell本身的功能。

3、.htaccess绕过

htaccess 文件是 Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。

通过上传htaccess文件，可以改变可执行文件的后缀名

<FilesMatch "lll">
    SetHandler application/x-httpd-php
</FilesMatch>

上传后lll后缀名的文件会被当做php文件执行。

4、文件截断绕过

通过添加%00，截断后面的内容，获得可执行文件