对文件上传的总结

2024-02-25 15:24:57

文件上传校验姿势:

1、客户端JavaScript校验(一般只校验后缀名)

2、服务端校验

  • 文件头content-type字段校验(image/gif)
  • 文件头内容校验(GIF89a)
  • 后缀名白名单校验
  • 后缀名黑名单校验
  • 自定义正则校验

3、WAF设备校验(根据不同的WAF产品而定)

文件上传绕过校验姿势:

1、客户端绕过(抓包改包)

2、服务端绕过

  • 文件类型
  • 文件头
  • 文件后缀名

3、配合文件包含漏洞绕过

4、配合服务器解析漏洞绕过

5、CMS、编辑器漏洞绕过

6、配合操作系统文件命名规则绕过

7、配合其他规则绕过

8、WAF绕过

上一篇:c – 如何使用waf在自定义路径中搜索库/标题?


下一篇:计算机网络第六课