当前位置: 首页 > news >正文

Pikachu-Unsafe FileUpload-客户端check

news 2025/7/1 2:32:44

上传图片,点击查看页面的源码,

可以看到页面的文件名校验是放在前端的;而且也没有发起网络请求;

所以,可以通过直接修改前端代码,删除 checkFileExt(this.value) 这部分;

又或者先把文件名改成图片格式,然后通过burpsuite 抓包,修改文件后缀名;

如 aa.jpg   改成  bb.php ,然后上传成功;访问 uploads/bb.php

从而实现绕过;这个php文件可以是一句话木马,可以是可执行脚本等;

http://www.lryc.cn/news/454465.html

相关文章:

  • 【数据结构】什么是红黑树(Red Black Tree)?
  • Xcode16适配
  • Vue - 路由用法
  • SpringBoot框架下校园资料库的构建与优化
  • vscode 连接云服务器(ubantu 20.04)
  • 【SpringBoot详细教程】-09-Redis详细教程以及SpringBoot整合Redis【持续更新】
  • 排序算法之——归并排序,计数排序
  • Linux中环境变量
  • 163页PPT罗兰贝格品牌战略升级:华为案例启示与电器集团转型之路
  • 系统设计,如何设计一个秒杀功能
  • Linux:进程入门(进程与程序的区别,进程的标识符,fork函数创建多进程)
  • 索尼MDR-M1:超宽频的音频盛宴,打造沉浸式音乐体验
  • 【Linux】线程的概念
  • centos7.9环境下mysql8数据库双机互备环境部署
  • git 报错git: ‘remote-https‘ is not a git command. See ‘git --help‘.
  • mysql学习教程,从入门到精通,SQL GROUP BY 子句(31)
  • pip 和 conda 的安装区别
  • 大学生就业招聘:Spring Boot系统的架构分析
  • 线段树模板
  • 【TypeScript】知识点梳理(三)
  • 题解:SP1741 TETRIS3D - Tetris 3D
  • EWSTM8 IAR for STM8 软件分享
  • 非机动车检测数据集 4类 5500张 电动三轮自行车 voc yolo
  • Chromium 中JavaScript FileReader API接口c++代码实现
  • k8s 中微服务之 MetailLB 搭配 ingress-nginx 实现七层负载
  • 南昌网站建设让你的企业网站更具竞争力
  • 【重学 MySQL】五十三、MySQL数据类型概述和字符集设置
  • 《计算机原理与系统结构》学习系列——计算机的算数运算(上)
  • 如何在华为云服务器查看IP地址,及修改服务器登录密码!!!
  • JAVA并发编程高级——JDK 新增的原子操作类 LongAdder