根据题目提示去查看源代码中的js脚本
在函数checkfilesuffix()中定义了一个白名单whitelist,通过变量file_suffix可以看出该网站需要验证的是上传文件的后缀,
indexOf()返回-1时说明未查找到字符串,综上可得出上传的文件只能是以.jpg、.png、.gif为后缀的
得出这一结论后,我们只需要想着去怎么绕过就行了,这里有两个较为方便的可行方法:
1.直接禁用掉网站的JavaScript
2.先将木马文件的后缀改为.jpg,通过burpsuite抓包后再修改为.php,再进行forward即可实现绕过