当前位置: 首页 > news >正文

Pikachu-Unsafe FileUpload-客户端check

news 2025/5/10 22:12:28

上传图片,点击查看页面的源码,

可以看到页面的文件名校验是放在前端的;而且也没有发起网络请求;

所以,可以通过直接修改前端代码,删除 checkFileExt(this.value) 这部分;

又或者先把文件名改成图片格式,然后通过burpsuite 抓包,修改文件后缀名;

如 aa.jpg   改成  bb.php ,然后上传成功;访问 uploads/bb.php

从而实现绕过;这个php文件可以是一句话木马,可以是可执行脚本等;


http://www.mrgr.cn/news/42894.html

相关文章:

  • 《西北师范大学学报 (自然科学版)》
  • 编程基础:详解 C++ 中的 `std::sort` 函数
  • 2024年7月大众点评全国火锅前百名城市分析
  • Android 13.0 系统内存优化之修改dalvik虚拟机的内存参数
  • 网络基础知识笔记(四)
  • ExcelToWord-Excel套打Word-Word邮件合并工具分享
  • 设计模式之原型模式(通俗易懂--代码辅助理解【Java版】)
  • 入手一个小扒菜fqrr#com
  • Java-运算符
  • 迭代器
  • 数据结构--二叉树的顺序实现(堆实现)
  • 浅聊前后端分离开发和前后端不分离开发模式
  • postgresql的TOAST表
  • ADE20K数据集
  • 如何使用EventChannel
  • 猴子吃桃-C语言
  • GS-SLAM论文阅读笔记-CaRtGS
  • 上海和18线小县城的异同?
  • 全排列和组合数区分
  • 编程技巧:优化