27-3 文件上传漏洞 - 文件类型绕过（后端绕过）

环境准备：构建完善的安全渗透测试环境：推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客

导语

后端校验由开发决定是检测文件后缀，还是文件内容。

文件类型绕过（Content-Type）

1）MIME 类型

定义：MIME（Multipurpose Internet Mail Extensions）类型是一种标准，用于表示文档、文件或数据的性质和格式。MIME类型由类型和子类型组成，中间由斜杠分隔，例如"text/html"表示HTML文档，"image/jpeg"表示JPEG图像等。MIME类型通常用于Web服务器和浏览器之间传输文件时确定文件的正确处理方式，比如指示浏览器将文件下载或者用特定程序打开。MIME类型还在电子邮件系统中使用，以确保能够正确地解释和显示发送和接收的多媒体文件。

2）语法：<type>/<subtype>

• 主类型（type）表示数据的一般类别，例如文本（text）、图像（image）、音频（audio）、视频（video）等。
• 子类型（subtype）表示主类型下的具体细分，例如文本可以是HTM