12-1
|
30
|
0
|
|
hola

194 字
|
1 分钟内

文件上传漏洞绕过方法

1. 客户端 JS 绕过

这是最简单也是最常见的绕过方法。许多开发者为了方便,只在前端(浏览器)使用 JavaScript 脚本来检查文件类型,如 .jpg.png.gif

  • 绕过方法:
    • 禁用 JavaScript: 在浏览器设置中直接禁用 JS,或者使用抓包工具(如 Burp Suite)拦截请求,修改文件名和内容后再发送
    • 抓包修改文件名: 正常上传一个合法的图片文件(1.jpg),然后使用 Burp Suite 拦截数据包,将文件名修改为 1.php。由于服务器后端没有进行二次验证,就会直接上传成功