文件上传没校验后缀

[cute-angelia]

上传接口缺乏验证，攻击者可以绕过认证和后缀名检测直接上传webshell，并在此基础上进一步植入DDoS和挖矿代码等恶意程序，执行任意文件。