小迪web自用笔记24

黑名单机制。

如果被过滤可以试试PHP5看看过滤没(或者其他变种变形),但是得看环境有些环境会被当成下载,有些会直接打开。

白名单机制

只允许这几个特定后缀可以上传,比黑名单更安全。

直接从信息图中获取文件类型。

文件类型是由这个黄框判定↑(这个信息是上传自带的)

这东西的作用是判断文件的类型,如果把它改掉的话,就会直接绕过。

这不就是相当于把从后缀中获取文件类型换成了从信息头中获取吗?

*如何判断前端,F12就可以改的那种,就是前端。

./本目录,./../上级目录。↓

因为dir接受path中的值,而源代码中又没有过滤,所以就可以做到任意文件读取(①文件遍历漏洞),甚至可以跨目录,跨网盘↓

①由于遍历文件夹时没有控制参数,导致你可以随便跨。

php中的open basedir可以控制文件路径在一个固定区域(固定在一个目录)

相关推荐
UXbot14 天前
帮助企业低门槛开展AI应用开发的平台推荐
前端·低代码·ui·交互·产品经理·原型模式·web app
UXbot14 天前
如何选择适合公司项目的UI设计工具?企业选型指南
前端·低代码·ui·团队开发·原型模式·设计规范·web app
UXbot15 天前
原型设计工具如何帮助新人快速进入产品行业?
前端·低代码·ui·交互·团队开发·原型模式·web app
UXbot20 天前
AI网页开发工具能替代工具吗?5大平台对比
前端·人工智能·低代码·ui·原型模式·web app
余防21 天前
app安全测试-服务端
安全·web app
暗冰ཏོ1 个月前
2026 App 开发完整指南:Android、iOS、跨平台开发与安卓应用上线全流程
android·ios·uni-app·web app·app开发
AIFQuant1 个月前
贵金属投资 APP 开发:实时报价、图表、提醒与交易数据全链路
开发语言·前端·websocket·金融·web app
万能小林子1 个月前
如何将网页在线转APP?5种打包工具对比速成指南(含在线/手机/电脑方案)
android·ios·uni-app·web app·wap2app·app打包·app封装
编码者卢布1 个月前
【Azure App Service】应用服务(Web App)里的 SNAT 端口 vs 出站连接数:到底是谁限制了谁?
flask·azure·web app
JCJC错别字检测-田春峰1 个月前
字根秀秀 HTML 托管现已支持“用户登录”功能,一键变身 Web App!
前端·html·web app·网页托管