学习笔记三十五:前端验证的突破

拿到站点后先对站点进行一些基本的判断:

通过F12的开发者功能在网站的响应头Response header的server部分查看到他的服务器类型和编写语言

通过对网站url里字母转换大小写,观察网页是否还能正常来判断系统,若正常则说明是Windows的

如何探查是为前端验证:

  • 右键查看源码
  • 直接上传文件,如果网站非常快的弹出提示,那么这个操作一定不是在服务端进行的而是在本地,进而判断出是Javascript的原因

如何绕过前端验证:

  • 通过浏览器审查元素就是F12开发者功能里的Elements查看器对网页的代码查看,找到对文件格式或大小的限制然后修改即可
  • 通过burpsuite工具对浏览器进行代理,抓包对包里的内容进行修改
  • 浏览器禁用JavaScript脚本

什么是前端验证:

<script type="text/javascript">
      function checkFile() {
           var file = document.getElementsByName('upload_file')[0].value;
           if (file == null || file == "") {
               alert("请选择要上传的⽂件!");
               return false;
           }
           //定义允许上传的⽂件类型
           var allow_ext = ".jpg|.png|.gif";
           //提取上传⽂件的类型
           var ext_name = file.substring(file.lastIndexOf("."));
           //判断上传⽂件类型是否允许上传
           if (allow_ext.indexOf(ext_name) == -1) {
               var errMsg = "该⽂件不允许上传,请上传" + allow_ext + "类型的⽂件,当前⽂件类型为:"
               + ext_name;
               alert(errMsg);
               return false;
           }
  }
</script>

 

上一篇:upload labs文件上传


下一篇:什么是BADI